Les services de renseignement néerlandais AIVD et MIVD avertissent que hackers soutenus par l'État russe hackers une campagne à grande échelle pour pirater les comptes Signal et WhatsApp de cibles de grande valeur.
Les cibles seraient des hauts fonctionnaires, des militaires, des fonctionnaires et des journalistes. Les attaquants ne cassent pas chiffrement de bout en bout chiffrement n'exploitent pas de vulnérabilité dans les applications elles-mêmes. Ils s'appuient plutôt sur des méthodes éprouvées de phishing et d'ingénierie sociale pour inciter les utilisateurs à leur communiquer leurs codes de vérification et leurs codes PIN, ou à ajouter un « appareil lié » malveillant à leur compte.
L'année dernière, nous avons parlé de GhostPairing, une méthode qui incite la cible à suivre la procédure de couplage d'appareils de WhatsApp, ajoutant discrètement le navigateur de l'attaquant comme appareil invisible lié au compte.
Dans les cas signalés par les services de renseignement néerlandais, les attaquants ont contacté les victimes sur Signal ou WhatsApp en se faisant passer pour « Signal Security Support Chatbot », « Signal Support » ou un compte officiel similaire.
Le message avertit généralement l'utilisateur d'une activité suspecte ou d'une éventuelle fuite de données détectée et lui demande d'effectuer une vérification afin d'éviter toute perte de données ou le blocage de son compte.
Les victimes sont ensuite invitées à renvoyer le code de vérification SMS qu'elles viennent de recevoir et/ou leur code PIN Signal.
Si la victime se plie à ses exigences, l'attaquant peut enregistrer le compte sur un appareil qu'il contrôle et en prendre le contrôle, recevant ainsi les nouveaux messages et envoyant des messages au nom de la victime.
Dans une deuxième variante, les pirates exploitent la fonctionnalité « appareils liés » (fonctionnalité disponible sur Signal et WhatsApp pour les ordinateurs de bureau ou autres appareils secondaires). Les victimes sont incitées à cliquer sur un lien ou à scanner un code QR qui relie silencieusement l'appareil du pirate à leur compte. La victime conserve un accès normal, mais le pirate peut désormais lire ses messages en temps réel sans laisser de traces visibles.
Ces attaques ne sont pas nouvelles, mais méritent un nouvel avertissement car elles reposent entièrement sur le comportement humain, et comprendre leur fonctionnement permet de les contrer plus facilement. Les méthodes utilisées ne sont pas sophistiquées sur le plan technique et peuvent être facilement reproduites par des acteurs non étatiques ou des cybercriminels ordinaires.
En raison des campagnes russes actuelles, l'AIVD et le MIVD affirment que les applications de messagerie instantanée telles que Signal et WhatsApp ne sont pas adaptées au partage d'informations gouvernementales classifiées, confidentielles ou sensibles, même si elles prennent techniquement en charge chiffrement de bout en bout.
Comment préserver la confidentialité de vos conversations
Une mise en garde spécifique s'adresse aux utilisateurs ciblés : utilisez des applications dédiées pour les informations sensibles. Bien que des systèmes sécurisés dédiés soient à la disposition de bon nombre d'entre eux, certains ont eu recours à des applications qu'ils connaissaient déjà, à savoir Signal et WhatsApp. Et pour être honnête, ces applications sont sûres si vous respectez quelques règles de base :
Comment prévenir et détecter les comptes compromis
- Ne communiquez jamais vos codes de vérification ou vos codes PIN. Votre code de vérification par SMS et votre code PIN ne sont nécessaires que lorsque vous installez ou réenregistrez l'application sur un appareil. Ils ne sont jamais demandés de manière légitime dans un chat. Tout message dans l'application, message direct (DM), e-mail ou SMS vous demandant de renvoyer ces codes est une tentative d'hameçonnage.
- Ne faites pas confiance aux comptes « d'assistance » dans le chat. Signal indique explicitement que le service d'assistance ne vous contactera jamais via des messages dans l'application, des SMS ou les réseaux sociaux pour vous demander votre code de vérification ou votre code PIN. Considérez tout « Signal Support Bot », « Security Chatbot » ou similaire comme malveillant, bloquez-le, signalez-le, puis supprimez la conversation.
- Soyez prudent avec les liens et les codes QR dans les discussions. Ne scannez les codes QR et ne cliquez sur les liens de connexion d'appareils que lorsque vous vous trouvez dans le menu de connexion d'appareils de l'application et que vous avez lancé le processus. Si un message vous invite à « vérifier votre appareil » ou à « sécuriser vos données » via un lien ou un code QR, considérez qu'il s'agit d'une partie de cette campagne.
- Vérifiez régulièrement les appareils connectés et les adhésions à des groupes. Dans Signal et WhatsApp, consultez la liste des appareils connectés et supprimez tout ce que vous ne reconnaissez pas. Soyez également attentif aux participants étranges dans les groupes ou aux contacts en double (par exemple, « compte supprimé » ou un contact qui apparaît deux fois), que les services de renseignement néerlandais mentionnent comme des signes possibles de compromission de compte.
- Utilisez les fonctionnalités de renforcement intégrées. Activez des options telles que le verrouillage de l'enregistrement, le code PIN d'enregistrement et les alertes de changement d'appareil afin que votre compte ne puisse pas être réenregistré à votre insu sans un secret supplémentaire. Stockez votre code PIN dans un gestionnaire de mots de passe plutôt que de choisir un code facile à deviner ou de réutiliser un code courant, afin de réduire les risques d'ingénierie sociale ou d'espionnage par-dessus votre épaule.
Utilisez les messages éphémères
Signal et WhatsApp prennent tous deux en charge les messages éphémères, dont l'utilisation peut limiter considérablement l'impact d'un piratage de compte ou d'un accès non autorisé à un appareil (même si cela ne l'empêche pas complètement).
Les messages à durée limitée et les messages qui disparaissent réduisent la quantité de contenu disponible si un pirate informatique accède ultérieurement à une conversation ou si quelqu'un obtient un accès à long terme à un appareil ou à une sauvegarde. Ils ne constituent pas une solution complète, mais ils peuvent limiter les dégâts.
Signal vous permet de définir un minuteur par conversation afin que tous les nouveaux messages de cette conversation soient automatiquement supprimés de tous les appareils après la période choisie. Vous pouvez l'activer pour les conversations individuelles ou de groupe et choisir parmi différentes durées (de quelques secondes à plusieurs semaines). Les deux parties peuvent voir qu'il est activé et modifier le minuteur.
WhatsApp prend également en charge les messages éphémères avec des minuteries par conversation (et une option par défaut pour les nouvelles conversations). Les messages peuvent être supprimés automatiquement après une période de 24 heures, 7 jours ou 90 jours, et les versions plus récentes incluent des options plus courtes, telles que 1 ou 12 heures.
Vous l'activez dans les informations du chat sous « Messages disparaissant », puis sélectionnez le minuteur souhaité ; seuls les messages envoyés après l'activation sont concernés.
Pour les médias ou les messages vocaux particulièrement sensibles, WhatsApp propose également des photos, des messages vocaux et des vidéos« à visionner une seule fois », qui ne peuvent être ouverts qu'une seule fois avant de disparaître de la conversation.
Activer l'authentification multifactorielle
Nous avons rédigé un guide complet sur la configuration de la vérification en deux étapes sur WhatsApp.
Pour configurer l'authentification à deux facteurs (2FA) sur Signal, activez la fonctionnalité Verrouillage de l'inscription, qui nécessite votre code PIN pour vous connecter sur un nouvel appareil. Ouvrez Signal, allez dansParamètres > Privacy Verrouillage de l'inscriptionet activez-la. Ainsi, même si quelqu'un vole votre carte SIM, il ne pourra pas accéder à votre compte sans votre code PIN personnel.
Nous ne nous contentons pas de faire des rapports sur la protection de la vie privée, nous vous offrons la possibilité de l'utiliser.
Les risques liés Privacy ne devraient jamais dépasser le titre d'un article. Préservez votre vie privée en ligne en utilisant Malwarebytes Privacy VPN.
