Les services de renseignement néerlandais alertent sur une campagne mondiale visant des comptes Signal et WhatsApp appartenant notamment à des responsables publics et militaires. L’attaque ne repose pas sur des failles techniques des applications mais sur des techniques d’ingénierie sociale exploitant leurs fonctions de sécurité.
Une opération d’ampleur visant des comptes sensibles
Les services de renseignement néerlandais, le MIVD (Netherlands Defence Intelligence and Security Service) et l’AIVD (General Intelligence and Security Service), alertent sur une campagne internationale menée par des acteurs étatiques russes pour compromettre des comptes sur Signal et WhatsApp. Selon leur analyse, l’opération cible principalement des dignitaires, des fonctionnaires et des militaires.
Des employés du gouvernement néerlandais ont déjà été visés et certains ont été victimes de cette campagne. Les services estiment également probable que d’autres profils présentant un intérêt pour les autorités russes figurent parmi les cibles, notamment des journalistes.
Une fois l’accès obtenu, les attaquants peuvent consulter les numéros de téléphone présents dans le carnet de contacts de la victime et lire les messages qui lui sont adressés. Dans certaines situations, ils peuvent également accéder aux conversations de groupe auxquelles le compte compromis participe.
Les services néerlandais insistent toutefois sur un point : les applications elles-mêmes ne sont pas compromises. Les attaques concernent la prise de contrôle de comptes individuels et non une faille dans les infrastructures de Signal ou de WhatsApp.
Des attaques basées sur le phishing et l’ingénierie sociale
Contrairement à de nombreuses campagnes d’intrusion, cette opération ne repose ni sur des malwares ni sur l’exploitation de vulnérabilités techniques. Les attaquants s’appuient plutôt sur des mécanismes légitimes des applications, combinés à des techniques d’ingénierie sociale.
Dans l’un des scénarios observés, les attaquants se font passer pour le support officiel de l’application. La victime reçoit un message signalant une activité suspecte sur son compte et évoquant un risque de fuite de données. Pour sécuriser son compte, elle est invitée à suivre une procédure de vérification et à transmettre le code reçu par SMS, ainsi que le code PIN associé à l’application.
Une fois ces éléments obtenus, l’attaquant peut prendre le contrôle complet du compte et associer celui-ci à un numéro de téléphone qu’il contrôle. Il peut alors accéder aux nouveaux messages, consulter les contacts et envoyer des messages en se faisant passer pour la victime.
La compromission peut passer inaperçue. Dans le cas de Signal, l’historique des conversations étant stocké localement sur le téléphone, la victime peut recréer un compte avec son numéro et retrouver ses messages, ce qui peut donner l’impression que rien d’anormal ne s’est produit. Les services néerlandais soulignent que cette impression peut être trompeuse.
QR codes et appareils liés, un second vecteur d’accès
Un autre mode opératoire exploite la fonction de liaison d’appareils disponible dans les deux applications. Les attaquants cherchent alors à convaincre la victime de scanner un QR code ou de cliquer sur un lien, par exemple pour rejoindre un groupe de discussion.
En réalité, ce code ou ce lien permet d’associer l’appareil de l’attaquant au compte de la victime via la fonction « linked devices ». L’attaquant obtient alors un accès complet aux conversations et peut lire les messages échangés, parfois avec l’historique des discussions.
Dans ce scénario, la victime conserve l’accès à son compte et ne se rend généralement pas immédiatement compte qu’un tiers consulte ses communications.
Face à ces attaques, les services néerlandais rappellent que les messageries instantanées restent des canaux de communication exposés. Ils recommandent notamment d’éviter d’y partager des informations sensibles et de vérifier régulièrement les appareils associés à son compte afin de détecter toute connexion suspecte.
