Piratage ciblé : comment les services russes volent les clés de récupération Signal

Les utilisateurs de l’application de messagerie chiffrée Signal sont désormais directement menacés par une campagne de phishing sophistiquée, orchestrée par des acteurs liés aux services de renseignement russes. Selon un avis public émis conjointement par le FBI et la CISA, les attaquants ne se contentent plus de voler des codes de vérification ou de prendre le contrôle de comptes : ils cherchent désormais à obtenir les clés de récupération des sauvegardes Signal. Une fois en possession de cette clé, un pirate peut déchiffrer et consulter l’intégralité de l’historique des messages et des fichiers partagés, même si le téléphone de la victime a été réinitialisé ou perdu. Cette évolution marque un tournant dans la stratégie des cyberespions russes, qui exploitent désormais une faille dans la conception même du système de sauvegarde de Signal pour contourner son chiffrement de bout en bout.

La menace est attribuée à des groupes alignés sur les services de renseignement russes, notamment des officiers intégrés aux gardes-frontières du FSB et d’autres acteurs agissant pour le compte de l’armée russe. Ces campagnes sont suivies sous les désignations UNC5792 et UNC4221 par les analystes de cybersécurité. Contrairement aux attaques précédentes, qui visaient à intercepter des SMS de vérification ou à lier des appareils malveillants à un compte, cette nouvelle phase exploite la fonctionnalité de sauvegarde de Signal. Les pirates se font passer pour le support technique de l’application, prétendant que Signal impose une double authentification en raison d’une prétendue vague d’attaques attribuées à des hackers iraniens et post-soviétiques. Leur objectif : convaincre la victime de partager sa clé de récupération, présentée comme un moyen de « protéger ses messages et médias ».

Une attaque en plusieurs étapes : du phishing à la compromission complète

La campagne commence généralement par un message frauduleux envoyé via une plateforme de messagerie ou un canal social, se faisant passer pour un compte automatisé de support technique. Le message informe la victime d’une « mise à jour obligatoire de la sécurité » imposée par Signal, souvent en citant des menaces fictives attribuées à des groupes de hackers iraniens ou originaires de pays post-soviétiques. Le texte insiste sur la nécessité de configurer une sauvegarde chiffrée pour « éviter de perdre ses messages et médias ». Dans l’interface de Signal, la clé de récupération est accessible via Paramètres > Sauvegardes > Activer les sauvegardes > Afficher la clé de récupération. C’est cette chaîne de caractères de 30 chiffres que les attaquants cherchent à obtenir.

Une fois la clé transmise, l’attaquant peut restaurer la sauvegarde Signal sur un appareil contrôlé par ses soins. Contrairement à une simple interception de SMS, qui ne permet d’accéder qu’aux nouveaux messages, la possession de la clé de récupération donne accès à l’intégralité de l’historique, y compris les anciens échanges, les fichiers multimédias et les groupes. Même si la victime change de numéro de téléphone ou réinitialise son appareil, la sauvegarde reste vulnérable tant que la clé n’a pas été régénérée. Les analystes soulignent que cette méthode contourne le chiffrement de bout en bout de Signal, car la sauvegarde n’est pas protégée par le même mécanisme que les messages en temps réel.

Les cibles privilégiées : une liste d’intérêts stratégiques

Les services de renseignement russes ne ciblent pas au hasard. Selon le FBI, les victimes potentielles incluent des personnalités à haute valeur stratégique : responsables gouvernementaux actuels et anciens aux États-Unis et à l’international, militaires, figures politiques, journalistes et responsables clés en Ukraine. Ces profils sont régulièrement exposés à des activités de renseignement ou de contre-espionnage, ce qui en fait des cibles prioritaires pour des acteurs cherchant à recueillir des informations sensibles ou à exercer une pression politique.

L’approche des attaquants est méthodique. Les messages de phishing sont personnalisés en fonction du profil de la victime, avec des références plausibles à leur domaine d’activité ou à des événements récents. Par exemple, un journaliste couvrant la guerre en Ukraine pourrait recevoir un message évoquant une « mise à jour de sécurité imposée par Signal en réponse à des cyberattaques attribuées à des groupes pro-iraniens ». Le ton est urgent, voire alarmiste, pour inciter la victime à agir sans vérifier la légitimité de la demande. Cette technique de social engineering exploite la confiance que les utilisateurs accordent généralement à leur fournisseur de messagerie, même si Signal n’a jamais imposé de double authentification obligatoire ni modifié ses conditions d’utilisation de cette manière.

Pourquoi cette évolution est-elle si dangereuse ?

La clé de récupération de Signal n’est pas un simple mot de passe : c’est une chaîne de caractères générée aléatoirement qui permet de déchiffrer l’intégralité des sauvegardes locales. Contrairement à un échange de messages chiffrés, qui reste protégé par le protocole Signal, les sauvegardes sont stockées localement sur l’appareil ou dans un cloud tiers (comme Google Drive ou iCloud), mais leur contenu est chiffré avec cette clé. En la volant, un attaquant obtient un accès direct au contenu des conversations, même si celles-ci ont eu lieu il y a des mois ou des années.

Cette faille illustre un paradoxe des applications de messagerie chiffrée : plus elles facilitent la récupération des données pour l’utilisateur légitime, plus elles créent une surface d’attaque pour les pirates. Signal a conçu sa fonctionnalité de sauvegarde pour protéger les utilisateurs contre la perte de données, notamment en cas de changement d’appareil. Mais cette même fonctionnalité devient un point d’entrée pour des acteurs malveillants lorsqu’elle est exploitée via des techniques de phishing. Les développeurs de Signal n’ont pas conçu cette clé pour résister à une interception humaine : elle est destinée à être partagée par l’utilisateur lui-même, ce qui la rend vulnérable à des attaques de manipulation psychologique.

Comment se protéger : bonnes pratiques et réactions immédiates

Face à cette menace, les utilisateurs de Signal doivent adopter une approche proactive. La première mesure consiste à désactiver les sauvegardes chiffrées si elles ne sont pas strictement nécessaires. Dans les paramètres de l’application, il est possible de désactiver cette fonctionnalité pour éviter que la clé de récupération ne soit jamais générée. Si la sauvegarde est indispensable, il est crucial de ne jamais la partager, même sous la pression d’un message semblant provenir du support technique. Signal insiste : son équipe ne demande jamais les clés de récupération par message ou par e-mail.

Une autre solution consiste à stocker la clé de récupération dans un gestionnaire de mots de passe sécurisé, plutôt que de la conserver dans un fichier texte ou de la mémoriser. Cela réduit les risques de fuite en cas de compromission du téléphone ou d’un compte en ligne. Il est également recommandé d’activer le verrouillage par code PIN ou biométrique sur l’application Signal, ce qui ajoute une couche de protection supplémentaire contre les accès non autorisés. Enfin, les utilisateurs doivent être particulièrement vigilants face aux messages urgents ou alarmistes, même s’ils semblent provenir d’une source officielle. Une vérification indépendante auprès des canaux officiels de Signal (site web ou comptes vérifiés sur les réseaux sociaux) est toujours préférable avant de partager des informations sensibles.

Que faire si vous êtes victime ?

Si vous suspectez d’avoir partagé votre clé de récupération, la première étape consiste à régénérer immédiatement une nouvelle clé via les paramètres de sauvegarde de Signal. Cette action invalide l’ancienne clé et empêche tout accès non autorisé aux sauvegardes futures. Il est également conseillé de changer les mots de passe des comptes associés à votre numéro de téléphone, notamment ceux utilisés pour des services de messagerie ou de stockage cloud. Si vous utilisez la même clé de récupération pour plusieurs appareils, il est impératif de la désactiver sur tous les terminaux pour limiter les risques.

En cas de compromission avérée, il est recommandé de signaler l’incident aux autorités compétentes, comme le FBI ou la CISA, et de conserver toutes les preuves (captures d’écran des messages de phishing, horodatages, etc.). Les victimes doivent également évaluer l’impact potentiel sur leur vie privée et envisager de consulter un expert en cybersécurité pour analyser les risques résiduels. Enfin, une réinitialisation complète de l’appareil peut être nécessaire pour éliminer tout logiciel malveillant résiduel, bien que cette mesure ne garantisse pas une récupération des données déjà compromises.

L’impact sur l’écosystème des messageries chiffrées

Cette campagne met en lumière une vulnérabilité structurelle des applications de messagerie chiffrée qui intègrent des fonctionnalités de sauvegarde. Signal n’est pas le seul service concerné : d’autres plateformes comme WhatsApp ou Telegram proposent des options de sauvegarde similaires, bien que leurs mécanismes de protection diffèrent. WhatsApp, par exemple, chiffre les sauvegardes via un mot de passe utilisateur, mais ne génère pas de clé de récupération aussi facilement exploitable. Telegram, en revanche, permet le stockage cloud des messages, ce qui soulève d’autres questions sur la confidentialité à long terme.

Les développeurs de Signal ont réagi en renforçant les avertissements dans l’application et en limitant la visibilité de la clé de récupération. Toutefois, la solution ultime réside dans une refonte des mécanismes de récupération d’urgence, par exemple en introduisant des délais de grâce ou des confirmations multi-étapes pour toute tentative d’accès à une sauvegarde. Une telle approche compliquerait les attaques automatisées tout en offrant une protection accrue aux utilisateurs.

Perspectives et évolutions à surveiller

À court terme, les experts s’attendent à ce que les groupes liés aux services de renseignement russes intensifient leurs campagnes ciblées, en exploitant non seulement Signal, mais aussi d’autres plateformes de messagerie chiffrée. Les attaques par phishing évolueront probablement vers des techniques plus sophistiquées, comme l’utilisation de faux sites web imitant l’interface de Signal ou l’envoi de messages vocaux automatisés pour contourner les filtres de détection.

Les utilisateurs doivent rester vigilants et suivre les mises à jour de sécurité de Signal. L’application publie régulièrement des bulletins pour alerter sur les nouvelles menaces et proposer des correctifs. Les entreprises et organisations doivent également former leurs employés, en particulier ceux exposés à des risques élevés, à reconnaître les tentatives de phishing et à adopter des pratiques de sécurité strictes. Enfin, les régulateurs pourraient être amenés à imposer des normes plus strictes pour les fonctionnalités de sauvegarde dans les applications de messagerie, afin de garantir un équilibre entre accessibilité et protection des données.

Cette menace rappelle que même les outils les plus sécurisés peuvent être compromis par des erreurs humaines ou des attaques ciblées. La vigilance, la formation et une approche proactive restent les meilleures défenses contre les cybermenaces modernes.