Campagne d’espionnage russe via faux SMS de support : comment les comptes de messagerie sont piratés et comment s’en protéger

Une vague d’attaques ciblées, menée par des acteurs liés aux services de renseignement russes, a été dévoilée par le Service de sécurité ukrainien (SSU) en collaboration avec le FBI. L’opération, qui dure depuis plusieurs mois, repose sur l’envoi de messages texte frauduleux se faisant passer pour des notifications de support technique des plateformes de messagerie. Les victimes, parmi lesquelles figurent des responsables gouvernementaux, des militaires, des personnalités politiques et des militants, sont incitées à divulguer leurs identifiants de compte, ouvrant ainsi la porte à l’accès à des échanges sensibles et à des données personnelles. Cette révélation met en lumière une méthode de piratage à la fois simple et redoutablement efficace, tout en soulignant l’importance de renforcer les pratiques de sécurité numérique.

Une méthode d’hameçonnage mobile ciblant les utilisateurs de messagerie

Les attaquants exploitent une technique d’hameçonnage (phishing) par SMS, également appelée smishing, qui consiste à envoyer des messages frauduleux imitant le ton et le style des notifications officielles d’un service de messagerie. Ces SMS, souvent rédigés en anglais ou dans la langue de la cible, informent l’utilisateur d’un prétendu problème de sécurité ou d’une mise à jour nécessaire, et l’invitent à cliquer sur un lien ou à répondre avec ses identifiants pour résoudre l’incident. Une fois les informations saisies, les cybercriminels accèdent directement au compte de messagerie et peuvent en extraire les conversations, les fichiers joints et les données personnelles. Cette méthode est particulièrement dangereuse car elle contourne les protections traditionnelles des messageries, qui reposent souvent sur des mécanismes de vérification en deux étapes ou sur des alertes de connexion inhabituelle.

Les cibles ne se limitent pas aux hauts responsables ou aux institutions. Le SSU précise que des comptes personnels appartenant à des citoyens ukrainiens ont également été visés, ce qui indique une campagne de grande envergure visant à collecter un maximum d’informations. Les services de renseignement russes sont régulièrement associés à des activités de ce type, notamment des groupes comme Star Blizzard, UNC5792 (alias UAC-0195) et UNC4221 (alias UAC-0185), connus pour leurs campagnes de phishing ciblant les utilisateurs de Signal et WhatsApp. Ces acteurs utilisent des infrastructures sophistiquées pour usurper l’identité des plateformes de messagerie et maximiser le taux de réussite de leurs attaques.

L’accès aux comptes comme porte d’entrée vers des données stratégiques

Une fois un compte compromis, les attaquants ne se contentent pas de lire les messages. Ils exploitent les fonctionnalités des applications de messagerie pour étendre leur emprise. Par exemple, l’accès à un compte Signal ou WhatsApp permet de consulter les groupes de discussion, d’extraire les contacts, et même d’utiliser les fonctionnalités de récupération de compte pour accéder à d’autres services liés à l’adresse e-mail ou au numéro de téléphone de la victime. Les services de renseignement russes cherchent ainsi à obtenir des informations militaires, politiques et économiques sensibles, mais aussi des données personnelles exploitables pour des campagnes de désinformation ou du chantage.

Le FBI a récemment attribué à des acteurs liés aux services de renseignement russes une campagne de phishing visant des cibles à haute valeur ajoutée, les incitant à divulguer leurs clés de récupération de compte. Ces clés, souvent composées de plusieurs mots ou de codes alphanumériques, permettent de rétablir l’accès à un compte en cas de perte du mot de passe. Leur obtention offre aux attaquants un contrôle total sur le compte, même après une réinitialisation du mot de passe. Cette tactique illustre l’évolution des méthodes d’attaques : plutôt que de se concentrer uniquement sur le vol de mots de passe, les cyberespions ciblent désormais les mécanismes de récupération, qui sont souvent moins protégés.

Des campagnes parallèles exploitant des failles dans l’écosystème numérique

Cette révélation s’inscrit dans un contexte plus large de cybermenaces attribuées à des groupes alignés sur la Biélorussie ou la Russie. Par exemple, le CERT ukrainien a récemment attribué à l’acteur UNC1151 (alias Ghostwriter et UAC-0057) une campagne de spear-phishing ciblant des organisations gouvernementales. Les attaquants utilisaient des comptes compromis pour diffuser un voleur d’informations appelé OYSTERBLUES, capable de subtiliser des identifiants et des données sensibles. Cette diversité des méthodes montre que les services de renseignement adverses adaptent leurs outils en fonction des cibles et des opportunités, combinant phishing, malware et ingénierie sociale pour maximiser l’impact de leurs opérations.

Les messageries cryptées, comme Signal ou WhatsApp, sont devenues des cibles privilégiées en raison de leur adoption massive par les institutions et les particuliers. Leur chiffrement de bout en bout garantit la confidentialité des échanges, mais cela ne protège pas contre les attaques visant les appareils des utilisateurs. Une fois qu’un attaquant a accès à un terminal, il peut intercepter les messages avant qu’ils ne soient chiffrés, ou utiliser les fonctionnalités de l’application pour exfiltrer des données. Cette réalité souligne l’importance de protéger non seulement les comptes, mais aussi les appareils eux-mêmes, en maintenant à jour les systèmes d’exploitation et en évitant l’installation de logiciels non vérifiés.

Comment repérer et bloquer les tentatives de piratage par faux SMS

Face à cette menace, plusieurs bonnes pratiques permettent de réduire les risques. La première consiste à vérifier systématiquement l’authenticité des messages reçus. Un service de messagerie officiel n’enverra jamais de SMS demandant de divulguer ses identifiants ou de cliquer sur un lien suspect. En cas de doute, il est recommandé de se connecter directement à l’application via le site officiel ou l’application mobile, et non via un lien fourni dans un message. Les plateformes comme Signal ou WhatsApp affichent également des alertes de sécurité dans leurs paramètres, indiquant les sessions actives ou les appareils connectés. Une revue régulière de ces informations permet de détecter rapidement une intrusion.

L’activation de la vérification en deux étapes (2FA) est une mesure essentielle pour sécuriser les comptes. Même si un attaquant parvient à obtenir le mot de passe, cette couche supplémentaire de protection empêche l’accès sans le code temporaire envoyé par SMS ou généré par une application d’authentification. Il est conseillé d’utiliser une méthode 2FA basée sur une application (comme Google Authenticator ou Authy) plutôt que sur des SMS, car ces derniers peuvent être interceptés. De plus, il est crucial de ne jamais partager ses codes de confirmation, ses codes PIN, ses mots de passe ou ses clés de récupération, même sous la pression d’un message urgent.

Gérer les sessions et les appareils connectés pour limiter les dégâts

Les applications de messagerie offrent des outils pour surveiller les connexions actives et les appareils autorisés. Par exemple, Signal permet de consulter la liste des appareils connectés à un compte et de les supprimer à distance si nécessaire. WhatsApp propose une fonctionnalité similaire pour gérer les sessions Web. Une revue mensuelle de ces paramètres permet de détecter d’éventuelles intrusions et de limiter l’accès des attaquants. En cas de suspicion, il est recommandé de se déconnecter de tous les appareils, de réinitialiser le mot de passe et de revérifier les paramètres de sécurité.

Il est également important de désactiver les fonctionnalités comme la récupération par SMS ou par appel téléphonique, si possible, et de privilégier des méthodes plus sécurisées, comme les clés de récupération stockées dans un gestionnaire de mots de passe. Enfin, il faut éviter de scanner des QR codes reçus de sources inconnues, car ceux-ci peuvent rediriger vers des pages de phishing ou installer des logiciels malveillants. Ces mesures, bien que simples, renforcent considérablement la sécurité des comptes et réduisent les risques de compromission.

Que faire en cas de compte compromis ?

Si un compte a été piraté, la première étape consiste à reprendre le contrôle en changeant immédiatement le mot de passe via un appareil sécurisé. Il est ensuite crucial de révoquer toutes les sessions actives et de vérifier les paramètres de récupération. Si des données sensibles ont été exposées, il faut évaluer l’impact potentiel et, si nécessaire, notifier les autorités compétentes ou les partenaires concernés. Dans certains cas, une collaboration avec des équipes de réponse aux incidents (CERT, CSIRT) peut être nécessaire pour analyser l’attaque et limiter les dommages.

Les victimes doivent également surveiller les activités suspectes sur leurs autres comptes, car les identifiants de messagerie sont souvent utilisés pour la récupération de mots de passe sur d’autres services. Une revue complète des comptes en ligne, couplée à une surveillance des fuites de données, permet de détecter d’éventuelles réutilisations de mots de passe ou des tentatives de prise de contrôle. Des outils comme Have I Been Pwned ou des services de veille cyber peuvent aider à identifier si des identifiants ont été compromis dans des fuites publiques.

L’évolution des tactiques et l’importance d’une cybersécurité proactive

Les attaques par faux SMS de support illustrent une tendance croissante des cybermenaces : l’utilisation de méthodes d’ingénierie sociale toujours plus sophistiquées, combinées à des infrastructures de phishing quasi indétectables. Les services de renseignement russes, comme d’autres acteurs étatiques, investissent massivement dans des campagnes ciblées pour obtenir des informations stratégiques. Ces attaques ne se limitent plus aux cibles gouvernementales ou militaires, mais s’étendent aux militants, aux journalistes et aux citoyens ordinaires, dans le but de collecter des données exploitables à des fins de propagande, de désinformation ou de pression.

Face à cette menace, une approche proactive de la cybersécurité est indispensable. Les organisations, en particulier celles traitant des informations sensibles, doivent former leurs employés à reconnaître les tentatives de phishing et à adopter des pratiques de sécurité strictes. Les particuliers, quant à eux, doivent prendre conscience que leurs comptes de messagerie sont des cibles potentielles et appliquer les mesures de protection adaptées. Enfin, les plateformes de messagerie ont un rôle à jouer en renforçant leurs mécanismes de détection des attaques et en éduquant leurs utilisateurs sur les risques liés aux faux messages de support.

En conclusion, la campagne dévoilée par le SSU et le FBI rappelle que les cybermenaces ne sont pas l’apanage des États ou des grandes entreprises. Chaque utilisateur de messagerie, quel que soit son profil, peut devenir une cible. La vigilance, la mise à jour régulière des pratiques de sécurité et l’utilisation des outils de protection disponibles sont les meilleures armes pour contrer ces attaques. À l’ère du numérique, la sécurité des communications n’est plus une option, mais une nécessité absolue.