Les renseignements néerlandais ont publié un document alertant sur une campagne d’espionnage visant des personnalités politiques et militaires, orchestrée par des acteurs russes, via les applications Signal et WhatsApp.
Selon les services de renseignement de sécurité de la Défense des Pays-Bas et le Service général de renseignement et de sécurité des Pays-Bas, des acteurs étatiques russes ciblent les comptes Signal et WhatsApp de dignitaires, de fonctionnaires et de personnels militaires, sans préciser lesquels.
Vaste campagne d’ingénierie sociale
Une fois le compte compromis, l’acteur malveillant peut accéder aux contacts de la victime et à ses messages et, dans certains cas, lire les messages de groupes dont la victime est membre.
L’attaque ne recourt à aucun logiciel malveillant ni vulnérabilité technique. Les attaquants exploitent les fonctions de sécurité légitimes des applications et mobilisent des techniques d’ingénierie sociale en se faisant passer pour une équipe d’assistance ou un chatbot de support.
Sur Signal, par exemple, ils envoient un message à la victime via le chatbot Signal Security Support, indiquant que des activités suspectes ont été détectées sur le compte et qu’une possible fuite de données ainsi que des accès illégitimes à des données privées sur Signal ont été observées. La victime est ensuite invitée à compléter un processus de vérification et à partager un code reçu par SMS avec le chatbot, ainsi que le code PIN défini dans Signal.
L’attaquant peut ainsi prendre le contrôle des comptes, y compris ceux protégés par la fonction Registration Lock, une fonctionnalité optionnelle qui empêche toute personne de (ré)enregistrer le numéro de téléphone d’un utilisateur sur Signal sans connaître son PIN Signal. L’attaquant remplace ensuite le numéro de téléphone associé au compte afin d’en prendre pleinement le contrôle.
« Étant donné que Signal stocke l’historique des conversations localement sur le téléphone, la victime peut retrouver cet historique après s’être réenregistrée (avec son numéro de téléphone utilisé habituellement, ndlr). Par conséquent, elle peut penser que tout fonctionne normalement. Les services néerlandais souhaitent toutefois souligner que cette supposition peut être erronée », décrivent les services de renseignement dans leur document.
Vérifier son hygiène numérique
Dans d’autres cas observés via Signal et WhatsApp, les attaquants poussent leur cible à scanner un QR code ou à cliquer sur un lien. « L’utilisation très répandue des codes QR et des liens en fait une méthode attractive pour les attaquants afin d’inciter les victimes à scanner des codes ou à cliquer sur des liens », indiquent les renseignements. Ces QR codes servent ici aux acteurs de la menace à prendre, une fois encore, le contrôle du compte. « La victime conserve l’accès à son compte, mais ne remarque généralement pas immédiatement que quelqu’un d’autre accède à ses communications. »
Les services néerlandais recommandent de ne jamais partager son code PIN ou ses codes de vérification, de se méfier des messages, liens, QR codes ou invitations de groupes provenant de contacts inconnus. Ils enjoignent également les utilisateurs à vérifier régulièrement les appareils liés à leur compte Signal ou WhatsApp afin de supprimer tout accès suspect. Ils conseillent fortement de ne pas envoyer d’informations sensibles via ces applications, de masquer son numéro de téléphone ou d’utiliser un nom d’utilisateur, et d’activer des fonctions de sécurité comme Registration Lock et les messages éphémères afin de limiter les risques en cas de compromission.
