Ces dernières semaines, les agences de sécurité de plusieurs pays ont déclenché des alarmes par une campagne d'hameçonnage visant des applications de messagerie commerciale telles que WhatsApp et Signal. Agences américaines CISA et FBI ont mis en garde contre le fait que les agents russes du renseignement tentent d'enlever des comptes rendus de personnes à « haute valeur du renseignement » : fonctionnaires, militaires, journalistes et personnalités politiques.
L'important dans cette campagne est qu'il ne s'agit pas d'une violation technique des protocoles de cryptage de ces plates-formes, mais d'une exploitation de la confiance humaine : les attaquants utilisent des techniques d'ingénierie sociale pour convaincre les victimes de fournir des codes de vérification, scanner des codes QR ou cliquer sur des liens malveillants. Résultat : prise de compte, vision des messages et remplacement pour lancer une nouvelle tromperie à partir d'une identité fiable. Les agences disent que des milliers de comptes ont déjà été engagés dans le monde entier.
Il y a deux façons principales d'accéder aux attaquants, et la différence entre eux est importante. Si la victime fournit le code de vérification demandé ou le NIP, l'agresseur récupère le compte et le propriétaire perd l'accès; l'agresseur ne pourra pas voir les anciens messages, mais il pourra lire et envoyer de nouveaux messages se posant comme la victime. Si la victime, par contre, clique sur un lien ou scanne un code QR préparé par l'agresseur, alors un appareil contrôlé par l'adversaire est jumelé avec le compte, qui peut permettre un accès complet aux conversations passées et présentes, tandis que l'utilisateur affecté est toujours en mesure d'entrer le compte jusqu'à ce qu'il soit expulsé des paramètres de l'application.
Différentes équipes de renseignement des entreprises technologiques et des centres d'intervention ont relié des campagnes similaires à des groupes alignés sur la Russie identifiés dans la littérature sur la cybersécurité avec des étiquettes telles que Star Blizzard, UNS5792 et UNS4221. Les rapports de renseignement des grands fournisseurs mettent en évidence des schémas et des tactiques similaires, ainsi que des alertes européennes, comme celle du centre de cybercrise français C4 / ANSSI ils confirment une augmentation des opérations dirigées contre les comptes de messagerie des fonctionnaires, des journalistes et des chefs d'entreprise.
Les autorités ont également expliqué pourquoi ces incidents sont particulièrement dangereux. Lorsqu'un attaquant contrôle un compte de messagerie, il n'a pas seulement accès à des conversations, il peut aussi manipuler la perception de contacts étroits : envoyer des liens dangereux ou des requêtes prétendant être la victime, et ainsi étendre le réseau de fiançailles aux personnes qui font confiance à l'expéditeur. Concrètement, un seul compte compromis peut devenir l'outil pour attaquer une douzaine de plus.
Les recommandations de sécurité ne sont pas nouvelles, mais elles sont maintenant plus urgentes. Ne partagez jamais de codes de vérification ou de NIP avec personne; traitez avec méfiance les messages inattendus qui demandent une action urgente; vérifiez l'authenticité d'un message d'une autre façon avant de répondre; et examinez périodiquement les dispositifs liés à vos applications pour supprimer ceux que vous ne reconnaissez pas. WhatsApp tient des instructions spécifiques sur la vérification en deux étapes et les bonnes pratiques à son centre d'aide ( Voir FAQ WhatsApp), et Signal publie des anti-phishing et des imitations ( voir article par Signal).
Signal a rappelé publiquement que votre code de vérification SMS est seulement nécessaire lors de l'activation initiale et que Support Signal ne jamais contacter les utilisateurs en demandant des codes ou des NIP par message. Toute demande de ce type devrait être considérée comme une escroquerie, et l'entreprise a demandé aux utilisateurs de signaler les tentatives de suplantation dans lesquelles apparaît un prétendu "Signal Support Bot" ou d'autres émetteurs suspects ( Déclaration du signal).
En plus de ne pas partager de codes, il existe des mesures spécifiques qui réduisent le risque : activer la vérification en deux étapes ou le NIP d'enregistrement que ces applications offrent, utiliser des blocs d'écran sur l'appareil, tenir le système d'exploitation et les applications à jour, et méfier les liens courts ou les domaines qui imitent les services légitimes. Pour les organisations et les hauts fonctionnaires, la pratique recommandée comprend des contrôles de sécurité supplémentaires et des protocoles de vérification hors ligne avant d'accepter des communications sensibles.
Les institutions de cybersécurité recommandent également que toute personne soupçonnée d'être la cible de ce type de campagne dépose une plainte et suive les guides officiels pour signaler l'incident. Aux États-Unis, C3 et d'autres organismes diffusent des avis et des mesures à suivre; La CISA dispose de ressources pour identifier les campagnes d'hameçonnage et y répondre ( plus d'informations sur CISA).
Ce type d'offensive rappelle que la sécurité ne dépend pas seulement d'algorithmes robustes et du chiffrement : dépend de personnes et de processus bien informés qui rendent difficile l'abus de confiance. La technologie de messagerie protège les messages de transit, mais si un attaquant entre par la porte de l'utilisateur, le niveau de protection est considérablement réduit. C'est pourquoi, outre les améliorations techniques, la formation et la prudence sont la première ligne de défense.
Si votre travail ou votre poste le rend plus susceptible de cibler ces campagnes, envisagez de lever les obstacles à la sécurité et de coordonner avec votre service informatique ou vos équipes d'intervention en cas d'incident pour mettre en oeuvre des mesures proactives. Les récentes mises en garde publiques sont un appel à ne pas attirer l'attention sur le fait que le génie social reste, dans de nombreux cas, l'outil privilégié des acteurs sophistiqués.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...