Le précédent avis public du FBI met en grandes lettres quelque chose dont beaucoup d'experts se méfiaient : il y a des campagnes d'hameçonnage qui tiennent compte des applications de messagerie cryptées et, selon l'agence, Ces opérations sont directement liées aux services de renseignement russes. La déclaration du FBI - la première à attribuer explicitement ces campagnes au renseignement russe - décrit un schéma inquiétant: il ne s'agit pas de briser les protocoles de chiffrement de bout en bout, mais de sauter la protection en profitant de la confiance et de la mécanique de vérification des applications elles-mêmes.
Les tactiques observées sont simples dans leur technique et efficaces dans leur exécution. Les attaquants envoient des messages comme des comptes de soutien ou des contacts de confiance et demandent au destinataire d'effectuer une action apparemment inoculée, comme le partage d'un code de vérification ou la numérisation d'un code QR. Ces mêmes actions sont celles qui permettent à Signal et WhatsApp de lier un nouvel appareil à un compte existant; malicieusement exploité, permettent à l'intrus d'ajouter un appareil sous son contrôle et d'accéder aux messages et à la liste de contacts. Signal explique comment le périphériques liés et quoi App détaille son mécanisme de vérification dans sa section «Aides» sur les codes.
Le FBI souligne que l'objectif de ces attaques n'est pas de « briser » le chiffrement; le chiffrement continue de fonctionner pour les appareils légitimes. Le problème se produit lorsque l'attaquant obtient son propre appareil traité par la plate-forme comme un utilisateur de plus, capable de lire des messages, d'entrer dans des groupes, de se présenter comme la victime et de lancer de nouvelles vagues d'hameçonnage à partir d'un compte déjà engagé. Selon la note du FBI, ces opérations ont déjà atteint des « milliers » de comptes dans le monde entier et ont ciblé des personnes ayant accès à des informations sensibles : fonctionnaires actuels et précédents, militaires, positions politiques et journalistes. Vous pouvez lire l'annonce complète du FBI sur votre PSA disponible ici.
L'alerte américaine intervient après des avertissements similaires émis en Europe; par exemple, l'autorité française de coordination de la cybercrise a publié un rapport montrant les mêmes modèles et exemples de messages d'hameçonnage utilisés contre les utilisateurs de messagerie instantanée. Le document C4 (Centre de réponse aux incidents) détaille des échantillons et des tactiques dans un PDF public qui aide à voir comment le crochet est présenté dans la vraie conversation : Alerte C4.
Pourquoi ces campagnes sont-elles si dangereuses ? Parce qu'ils changent la nature de la menace : le cryptage continue d'offrir la confidentialité entre les appareils légitimes, mais si l'opposant obtient que son appareil fasse partie de l'ensemble des appareils de l'utilisateur, alors il peut lire et envoyer des messages sans avoir à violer les protocoles cryptographiques. Cela fait des contacts et des conversations un vecteur de propagation: un message d'un compte compromis semble légitime et est beaucoup plus efficace pour tromper de nouvelles victimes.
Dans la pratique, les messages frauduleux demandent souvent des actions concrètes : entrez ou envoyez des codes de vérification, scannez un QR pour « reconnecter » le service ou suivez des liens menant à des pages qui reproduisent l'interface de l'application. Dans le cas d'une telle demande, il est recommandé de se méfier par défaut. Il n'est jamais nécessaire de fournir des codes de vérification ou de scanner des codes QR qui n'ont pas été demandés à l'appareil de l'utilisateur. C'est aussi une bonne idée de revoir régulièrement la liste des appareils liés à votre application et de fermer des sessions que vous ne reconnaissez pas; Signal et les pages d'aide propres à WhatsApp enseignent comment gérer ces liens et fermer des appareils à distance.
Pour ceux qui travaillent avec des informations sensibles - les journalistes avec des sources, des fonctionnaires, des membres d'ONG ou toute personne à haut risque - les mesures doivent être plus strictes: utiliser la fonction de blocage d'enregistrement offerte par Signal (qui impose un NIP pour éviter de réenregistrer) ou activer la vérification en deux étapes de WhatsApp pour ajouter une couche de défense supplémentaire, garder les canaux de communication critiques séparés et, si possible, utiliser des dispositifs dédiés et des comptes pour les communications sensibles. Ces pratiques réduisent la probabilité qu'un courriel ou un message ingénieux entraîne un enlèvement de compte.
Techniquement, les plateformes peuvent également améliorer la détection et la présentation de ces illusions, et certaines ont déjà travaillé sur elle; cependant, la défense la plus efficace reste la sensibilisation de l'utilisateur. Une impulsion inattendue pour « résoudre un problème de sécurité » dans la conversation n'est pas inoffensive : arrêter, vérifier un autre canal et ne pas partager des codes ou des identifiants.
Si vous pensez que votre compte a été compromis, déconnectez les périphériques liés, modifiez les paramètres de sécurité et alertez vos contacts pour être alerte aux messages atypiques qui peuvent provenir de votre identité. Les organisations devraient également envisager des procédures d'intervention et de rapport spécifiques pour les employés ayant accès à des renseignements sensibles, car la chaîne d'approvisionnement peut rapidement s'étendre si le compte compromettant appartient à une personne ayant de nombreux contacts influents.
Enfin, il convient de rappeler que l'attribution d'attaques à la nation ajoute une couche politique et opérationnelle au problème : lorsqu'un renseignement est derrière ces campagnes, l'objectif n'est pas seulement l'accès opportun, mais l'exploitation prolongée et sélective de l'information. C'est pourquoi l'avertissement du FBI n'est pas seulement une nouvelle sur la cybersécurité; c'est un appel à réorganiser les habitudes et les contrôles pour protéger ce que les protocoles de cryptage ne peuvent pas défendre par eux-mêmes: l'intégrité des appareils et la prudence humaine. Le moins que nous puissions faire est de tenir informé et de mettre en œuvre les recommandations des demandes elles-mêmes et des autorités. Pour plus de détails techniques et des exemples, consultez le FBI PSA Voilà. et le guide pratique du français C4 Voilà. et les pages de l'aide publique Signal et WhatsApp.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...