La fin du mois d'avril 2026 a montr\u00e9 une fois de plus \u00e0 quel point l'id\u00e9e d'une \u201ecommunication s\u00fbre\u201c peut \u00eatre fragile. Le vendredi 24 avril, le parquet f\u00e9d\u00e9ral allemand a annonc\u00e9 qu'il menait depuis la mi-avril une enqu\u00eate sur des soup\u00e7ons d'espionnage, visant des comptes Signal appartenant \u00e0 des hommes politiques, des diplomates, des militaires et des journalistes. Parmi les cibles cit\u00e9es figurent les ministres f\u00e9d\u00e9rales Karin Prien (\u00e9ducation) et Verena Hubertz (construction), ainsi que Julia Kl\u00f6ckner, pr\u00e9sidente du Bundestag. Selon un rapport de Der Spiegel, plus de 300 comptes de haut niveau pourraient avoir \u00e9t\u00e9 touch\u00e9s. Le lendemain, des sources gouvernementales allemandes ont d\u00e9clar\u00e9 \u00e0 l'AFP que la campagne \u00e9tait \u201eprobablement dirig\u00e9e depuis la Russie\u201c - une formulation qui reste prudente, contrairement \u00e0 l'attribution plus claire des services n\u00e9erlandais.<\/p>\n\n\n\n
Il ne s'agit pas d'un \u00e9v\u00e9nement isol\u00e9. Le 9 mars 2026 d\u00e9j\u00e0, les services de renseignement n\u00e9erlandais AIVD et MIVD ont publi\u00e9 un avertissement d\u00e9taill\u00e9 concernant une campagne \u201emondiale \u00e0 grande \u00e9chelle\u201c visant les comptes Signal et WhatsApp - des fonctionnaires n\u00e9erlandais figuraient parmi les victimes. Le 1er avril, Politico a publi\u00e9 un rapport exclusif : la Commission europ\u00e9enne a ordonn\u00e9 aux chefs de service et \u00e0 leurs adjoints de fermer les groupes de discussion internes sur Signal par crainte d'attaques de piratage.<\/p>\n\n\n\n
Trois \u00e9v\u00e9nements, un mod\u00e8le. Et un d\u00e9nominateur commun qui m\u00e9rite d'\u00eatre compris : chiffrement<\/a> personne ne s'est introduit dans Signal. Les attaques sont dirig\u00e9es ailleurs, vers les utilisateurs.<\/strong><\/p>\n\n\n\n Lorsque nous pensons \u00e0 une attaque contre des communications crypt\u00e9es, la plupart d'entre nous pensent \u00e0 une faille math\u00e9matique, \u00e0 un jour z\u00e9ro dans une application ou \u00e0 un logiciel malveillant sur un t\u00e9l\u00e9phone. Rien de tout cela ne se produit ici. Les attaquants exploitent une fonctionnalit\u00e9 parfaitement l\u00e9gitime de Signal appel\u00e9e dispositifs connect\u00e9s<\/em> (Linked Devices) - celui qui vous permet de Signal<\/a> installez sur votre ordinateur de bureau et utilisez le m\u00eame compte depuis votre ordinateur portable et votre t\u00e9l\u00e9phone mobile (Signal prend en charge jusqu'\u00e0 cinq appareils connect\u00e9s et synchronise les chats et les m\u00e9dias jusqu'\u00e0 45 jours apr\u00e8s la premi\u00e8re connexion).<\/p>\n\n\n\n Le principe de la connexion est simple : la version de bureau de Signal affiche un code QR, vous le scannez avec votre t\u00e9l\u00e9phone portable et, \u00e0 partir de ce moment, les deux appareils re\u00e7oivent vos messages. Le chiffrement reste fonctionnel, mais l'appareil de l'attaquant devient le point de terminaison autoris\u00e9 auquel Signal d\u00e9livre l\u00e9gitimement de nouveaux messages. Du point de vue du serveur Signal, il s'agit d'une situation normale et voulue.<\/p>\n\n\n\n L'attaque exploite pr\u00e9cis\u00e9ment ce m\u00e9canisme. L'attaquant pr\u00e9pare un code QR d'un appareil connect\u00e9, le d\u00e9guise en une page frauduleuse (\u201einvitation de groupe\u201c, \u201ealerte de s\u00e9curit\u00e9 de Signal\u201c, \u201econnexion \u00e0 l'application de l'entreprise\u201c) et le transmet \u00e0 la victime par le biais d'un lien dans un courriel, un message ou un r\u00e9seau social. Lorsque la victime scanne le code QR \u00e0 l'aide d'un scanner situ\u00e9 dans le Param\u00e8tres \u2192 Appareils connect\u00e9s<\/em>, Il relie son compte \u00e0 l'instance de Signal contr\u00f4l\u00e9e par l'attaquant. Le t\u00e9l\u00e9phone portable de la victime ne pr\u00e9sente aucun signe de compromission - il n'y a pas de logiciel malveillant, l'autonomie de la batterie ne diminue pas, le syst\u00e8me d'exploitation n'a rien remarqu\u00e9. Pendant ce temps, l'attaquant lit tous les nouveaux messages en temps r\u00e9el et, selon les conclusions des enqu\u00eateurs allemands, a pu acc\u00e9der \u00e0 l'historique des conversations des 45 derniers jours environ par l'interm\u00e9diaire d'une fen\u00eatre de synchronisation.<\/p>\n\n\n\n Il existe des variantes plus simples de l'attaque. D'apr\u00e8s le site Avertissement AIVD\/MIVD<\/a> i rapport sur le cas allemand<\/a> Les attaquants se font souvent passer pour un \u201eSignal Support Chatbot\u201c et demandent \u00e0 la victime un code de v\u00e9rification par SMS ou un code PIN Signal. Si l'utilisateur fournit le code, l'attaquant r\u00e9enregistre simplement le compte sur son appareil - le propri\u00e9taire initial est d\u00e9connect\u00e9 de l'application.<\/p>\n\n\n\n Pour \u00eatre complet : le contexte \u00e9conomique d\u00e9crit Article d'EUobserver<\/a>, qui, citant des sources anonymes des services europ\u00e9ens de renseignement et de s\u00e9curit\u00e9 priv\u00e9e, rapporte que l'acc\u00e8s aux contenus \u00e9trangers de Signal se n\u00e9gocie entre 10 000 et 20 000 dollars sur le march\u00e9 gris, pour un montant de 1,5 milliard d'euros. WhatsApp<\/a> pour 2 000 \u00e0 4 000 dollars et l'historique des d\u00e9placements de la victime pour 200 \u00e0 400 dollars. Ces chiffres n'ont pas pu \u00eatre v\u00e9rifi\u00e9s de mani\u00e8re ind\u00e9pendante, mais m\u00eame \u00e0 titre indicatif, ils montrent qu'il existe une demande structur\u00e9e pour ce type d'acc\u00e8s.<\/p>\n\n\n\n Voici l'essentiel de ce texte. Si vous utilisez Signal, suivez ces \u00e9tapes - non pas \u00e0 un moment donn\u00e9, mais dans les minutes qui suivent.<\/p>\n\n\n\n 1. Audit des appareils connect\u00e9s.<\/strong> Ouvrez Signal, appuyez sur l'ic\u00f4ne de votre profil dans le coin de l'\u00e9cran et continuez \u00e0 suivre les instructions. Param\u00e8tres \u2192 Appareils connect\u00e9s<\/em>. Vous ne devriez voir que les appareils que vous avez vous-m\u00eame connect\u00e9s - g\u00e9n\u00e9ralement Signal Desktop sur votre ordinateur ou votre iPad. D\u00e9connectez tous les autres. Faites de cette v\u00e9rification une routine mensuelle ; si vous exercez une profession plus sensible (journaliste, avocat, activiste, fonctionnaire), v\u00e9rifiez plut\u00f4t une fois par semaine.<\/p>\n\n\n\n 2. le code PIN de signalisation et le verrouillage de l'enregistrement.<\/strong> Param\u00e8tres \u2192 Compte<\/em>. Si vous n'avez pas de code PIN, cr\u00e9ez-en un - id\u00e9alement un code alphanum\u00e9rique de plus de six caract\u00e8res. Mais le plus important, c'est que activer le verrouillage de l'enregistrement<\/strong>. Sans cela, un pirate n'a besoin que de capturer un code SMS pour r\u00e9enregistrer votre num\u00e9ro dans sa base de donn\u00e9es. t\u00e9l\u00e9phone<\/a>. Le verrouillage de l'enregistrement ne peut se faire sans votre code PIN. Attention aux d\u00e9tails : le verrouillage de l'enregistrement est d\u00e9sactiv\u00e9 apr\u00e8s sept jours d'inactivit\u00e9. Ouvrez donc l'application au moins une fois par semaine.<\/p>\n\n\n\n 3. les num\u00e9ros de s\u00e9curit\u00e9 des personnes \u00e0 contacter.<\/strong> Chaque conversation poss\u00e8de un num\u00e9ro de s\u00e9curit\u00e9 unique \u00e0 60 chiffres qui permet de v\u00e9rifier l'identit\u00e9 de l'interlocuteur. Dans les d\u00e9tails du contact, appuyez sur Voir le num\u00e9ro de s\u00e9curit\u00e9<\/em>. La v\u00e9rification id\u00e9ale est personnelle - vous scannez le code QR de l'autre partie. Si ce n'est pas possible, utilisez un autre canal que vous avez d\u00e9j\u00e0 v\u00e9rifi\u00e9 (t\u00e9l\u00e9phone, r\u00e9union en face \u00e0 face). Ne jamais envoyer le num\u00e9ro via Signal lui-m\u00eame<\/strong> et laissez toujours l'autre partie envoyer le sien en premier - sinon, s'il est compromis, l'attaquant renverra le v\u00f4tre. Les num\u00e9ros de s\u00e9curit\u00e9 ne sont pas un moyen magique de d\u00e9tecter toutes les attaques, mais une pratique coh\u00e9rente de v\u00e9rification fait partie de l'hygi\u00e8ne de base.<\/p>\n\n\n\n 4. Verrouillage de l'\u00e9cran et Verrouillage de l'\u00e9cran de signalisation.<\/strong> Mot de passe alphanum\u00e9rique fort pour le t\u00e9l\u00e9phone (pas de code PIN \u00e0 quatre chiffres), d\u00e9verrouillage biom\u00e9trique du signal lui-m\u00eame (Param\u00e8tres \u2192 Vie priv\u00e9e<\/a> \u2192 Verrouillage de l'\u00e9cran<\/em>) et de masquer les aper\u00e7us de messages dans les notifications. Pour les utilisateurs d'iOS qui appartiennent \u00e0 des groupes vuln\u00e9rables, les agences de renseignement recommandent d'envisager \u00e9galement les mesures suivantes Mode verrouillage<\/strong> (Param\u00e8tres \u2192 Confidentialit\u00e9 et s\u00e9curit\u00e9<\/em>).<\/p>\n\n\n\n 5. Mise \u00e0 jour.<\/strong> Les versions de Signal publi\u00e9es apr\u00e8s f\u00e9vrier 2025 disposent d'une protection renforc\u00e9e contre l'hame\u00e7onnage QR, avec un nouveau dialogue de liaison et des avertissements plus forts. Activez les mises \u00e0 jour automatiques.<\/p>\n\n\n\n Le code QR lui-m\u00eame ne peut \u00eatre distingu\u00e9 visuellement comme \u00e9tant \u201ebon\u201c ou \u201emauvais\u201c - il s'agit simplement d'une repr\u00e9sentation graphique de l'URI. La diff\u00e9rence r\u00e9side dans le contexte dans lequel il vous est pr\u00e9sent\u00e9. Il est important de savoir \u00e0 quoi sert le code QR dans Signal : il existe des codes QR l\u00e9gitimes pour rejoindre le groupe<\/strong> (Signal les prend officiellement en charge et les scanner ne fait que vous ajouter au groupe), tandis que les codes QR des l'association de nouveaux \u00e9quipements<\/strong> sont celles qui peuvent conduire \u00e0 des \u00e9coutes t\u00e9l\u00e9phoniques.<\/p>\n\n\n\n Un test simple qui fonctionne \u00e0 tous les coups : si une page, un courriel ou un contact vous am\u00e8ne \u00e0 scanner un code QR dans le menu Param\u00e8tres \u2192 Appareils connect\u00e9s<\/em>, Si le code provient directement de votre propre instance de Signal Desktop ou de Signal iPad, que vous avez install\u00e9e vous-m\u00eame \u00e0 partir de D'autres signaux d'alarme :<\/p>\n\n\n\n Si vous voyez un appareil que vous ne reconnaissez pas dans la liste des appareils connect\u00e9s, supposez que l'attaquant a lu vos messages depuis que vous vous \u00eates connect\u00e9 - et qu'il a probablement vu certaines des conversations des semaines pr\u00e9c\u00e9dentes.<\/p>\n\n\n\n Plusieurs institutions et services de renseignement europ\u00e9ens ont d\u00e9crit le m\u00eame probl\u00e8me en l'espace de quelques semaines : chiffrement de bout en bout<\/a> reste fonctionnelle, mais elle ne suffit pas \u00e0 elle seule. Un attaquant qui ne peut pas briser la cryptographie cible l'interface homme-application - codes QR, fausse assistance, codes PIN et confiance habituelle.<\/p>\n\n\n\n La cons\u00e9quence pratique est trivialement simple et notoirement famili\u00e8re : le verrouillage de l'enregistrement est activ\u00e9, la liste des appareils connect\u00e9s est vierge, les num\u00e9ros de s\u00e9curit\u00e9 sont v\u00e9rifi\u00e9s et l'on se m\u00e9fie sainement de tout code QR provenant de l'ext\u00e9rieur. Cinq minutes d'installation maintenant vous \u00e9pargneront une longue liste d'appels t\u00e9l\u00e9phoniques par la suite.<\/p>\n\n\n\n Une autre conclusion franche a \u00e9t\u00e9 tir\u00e9e, entre autres, par le directeur du renseignement militaire n\u00e9erlandais, Peter Reesink, dans le cadre de l'avertissement de mars : m\u00eame Signal avec un cryptage de bout en bout n'est pas un canal appropri\u00e9 pour les informations vraiment classifi\u00e9es, sensibles ou confidentielles. Il est excellent pour les communications priv\u00e9es ordinaires. Pour les informations les plus sensibles, il y a des raisons pour lesquelles les \u00c9tats exploitent leurs propres canaux s\u00e9par\u00e9s et g\u00e9r\u00e9s.<\/p>\n\n\n\n Ressources et lectures compl\u00e9mentaires<\/em><\/strong><\/p>\n\n\n\n <\/p>","protected":false},"excerpt":{"rendered":" Konec dubna 2026 znovu uk\u00e1zal, jak k\u0159ehk\u00e1 m\u016f\u017ee b\u00fdt p\u0159edstava \u201ebezpe\u010dn\u00e9 komunikace\u201c. V p\u00e1tek 24. dubna n\u011bmeck\u00e9 feder\u00e1ln\u00ed st\u00e1tn\u00ed zastupitelstv\u00ed […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"activitypub_content_warning":"","activitypub_content_visibility":"","activitypub_max_image_attachments":4,"activitypub_interaction_policy_quote":"anyone","activitypub_status":"federated","footnotes":""},"categories":[29],"tags":[],"class_list":["post-612","post","type-post","status-publish","format-standard","hentry","category-digitalni-bezpecnost"],"yoast_head":"\nPourquoi c'est plus important qu'un \u201ehack\u201c classique\u201c<\/h2>\n\n\n\n
Anatomie d'une attaque en cinq \u00e9tapes<\/h2>\n\n\n\n
\n
signal-confirm.site<\/code>, signal-protect.host<\/code>) et clone la page Signal Group Invite. Le JavaScript qui devrait normalement rediriger vers l'entr\u00e9e du groupe est remplac\u00e9 par un code qui appelle l'URI sgnl:\/\/linkdevice?uuid=...<\/code> - Le signal reconna\u00eet qu'il s'agit d'une demande de connexion d'un nouvel appareil.<\/li>\n\n\n\nCinq minutes qui valent la peine d'\u00eatre investies d\u00e8s maintenant<\/h2>\n\n\n\n
Comment rep\u00e9rer un code QR frauduleux<\/h2>\n\n\n\n
signal.org<\/code>.<\/strong><\/p>\n\n\n\n\n
Que faire en cas de soup\u00e7on de compromission ?<\/h2>\n\n\n\n
\n
csirt.cz<\/code>) ou le National Cyber and Information S\u00e9curit\u00e9<\/a> (nukib.gov.cz<\/code>), si vous faites partie d'un groupe vuln\u00e9rable.<\/li>\n<\/ol>\n\n\n\nCe qu'il faut retenir<\/h2>\n\n\n\n
\n\n\n\n\n