Signal piraté par des espions russes : comment les clés de récupération deviennent des armes

Les utilisateurs de Signal qui activent les sauvegardes de conversations doivent redoubler de vigilance. Une campagne d’espionnage menée par des groupes liés aux services de renseignement russes, déjà documentée en mars, a évolué : les attaquants ne se contentent plus de voler des codes de vérification ou de piéger des liens d’invitation frauduleux. Ils incitent désormais leurs cibles à partager directement leur clé de récupération des sauvegardes, un code unique qui, une fois compromis, offre un accès permanent au compte, à l’historique complet des messages et à la possibilité de reprendre le contrôle, même après la création d’un nouvel identifiant. Cette évolution transforme une fonctionnalité légitime de protection des données en une faille critique pour les utilisateurs exposés.

L’alerte, publiée par le FBI et la CISA avec des références précises à des groupes nommés UNC5792 et UNC4221, détaille une tactique de phishing sophistiquée. Les messages frauduleux se font passer pour un support technique de Signal, exigeant l’activation des sauvegardes puis la communication de la clé de récupération. Une fois celle-ci obtenue, l’attaquant peut restaurer les sauvegardes existantes, consulter les messages privés et de groupe, et même réactiver l’ancien compte sur un nouveau numéro de téléphone. Contrairement à un simple vol de session, cette clé reste valide indéfiniment, sauf si l’utilisateur génère une nouvelle clé via les paramètres de l’application. La solution proposée par les autorités est radicale : invalider l’ancienne clé et accepter que les données déjà exfiltrées soient perdues. Cette campagne ne cible pas seulement Signal, mais également WhatsApp, bien que la manipulation de la clé de récupération soit spécifique à Signal.

Une campagne d’espionnage ciblant les élites mondiales

Les victimes identifiées par le FBI et ses partenaires internationaux forment une liste d’individus à haute valeur stratégique : actuels et anciens responsables gouvernementaux américains et internationaux, militaires, personnalités politiques, journalistes et responsables ukrainiens. L’enquête révèle que des milliers de comptes ont déjà été compromis à l’échelle mondiale depuis le début de cette campagne, dont une partie significative avant même l’ajout de la manipulation de la clé de récupération. Les acteurs malveillants, associés à plusieurs branches des services de renseignement russes (RIS), dont des officiers du FSB intégrés aux gardes-frontières et des membres des services militaires, exploitent cette faille pour infiltrer des réseaux sensibles.

Les messages de phishing utilisés dans cette campagne sont particulièrement convaincants. Deux exemples types sont décrits dans l’avis : l’un se présente comme une obligation de mise à jour de l’authentification à deux facteurs, l’autre comme une solution urgente de récupération de données pour éviter la perte de messages. Dans les deux cas, la victime est guidée étape par étape pour activer les sauvegardes Signal, localiser la clé de récupération dans les paramètres, puis la transmettre via le chat frauduleux. Cette méthode exploite la méconnaissance des utilisateurs quant au fonctionnement réel des sauvegardes et des clés de récupération, transformant une fonction de sécurité en vecteur d’attaque.

Pourquoi la clé de récupération est-elle si dangereuse ?

La clé de récupération de Signal est conçue pour permettre à un utilisateur de restaurer ses messages et fichiers multimédias en cas de perte d’accès à son appareil principal. Elle fonctionne comme un mot de passe maître pour les sauvegardes chiffrées stockées sur les serveurs de Signal. Le problème réside dans le fait que cette clé, une fois compromise, offre un accès complet et permanent aux données, même après la suppression ou la réinitialisation du compte. Contrairement à un code SMS ou à un mot de passe temporaire, la clé de récupération n’a pas de durée de validité limitée. Une fois partagée, elle permet à l’attaquant de :

• Récupérer toutes les sauvegardes existantes, y compris l’historique complet des messages privés et de groupe.
• Rétablir l’ancien compte sur un nouveau numéro de téléphone, contournant ainsi les mesures de sécurité classiques comme le changement de numéro.
• Maintenir un accès persistant, même si la victime régénère une nouvelle clé, car l’ancienne reste valide pour les sauvegardes déjà téléchargées.

Cette vulnérabilité n’est pas une faille technique du chiffrement de Signal, mais une exploitation malveillante d’une fonctionnalité légitime. Signal n’a pas été compromis : c’est l’utilisateur, trompé par un phishing ciblé, qui a involontairement fourni les clés de son propre coffre-fort numérique.

Qui sont les groupes derrière ces attaques ?

Le FBI et la CISA ont attribué ces attaques à plusieurs entités liées aux services de renseignement russes. Parmi elles, UNC5792 et UNC4221 sont les deux principales désignations utilisées pour identifier ces groupes. Selon les informations disponibles, ces acteurs opèrent sous l’égide de différentes branches des services russes, notamment :

• Des officiers du FSB intégrés aux services de gardes-frontières, suggérant une coordination entre les opérations de renseignement intérieur et les activités de surveillance aux frontières.
• Des membres des services militaires russes, indiquant une implication directe des structures de défense dans des opérations de cyberespionnage à l’étranger.
• D’autres groupes affiliés aux RIS, dont les méthodes et les cibles recoupent les avertissements émis par plusieurs agences européennes en début d’année.

Ces groupes ne sont pas nouveaux : des rapports antérieurs, notamment ceux des services de renseignement néerlandais (AIVD et MIVD), allemands (BfV et BSI), et français (ANSSI), avaient déjà alerté sur leurs activités. Google’s Threat Intelligence Group avait également documenté UNC5792 dans des analyses précédentes, confirmant la continuité et l’évolution de leurs tactiques. Leur cible principale reste les individus en position d’influencer les décisions politiques, militaires ou médiatiques, en particulier ceux impliqués dans le soutien à l’Ukraine ou critiques envers la Russie.

Comment fonctionnent les attaques et quels sont leurs objectifs ?

La campagne combine plusieurs techniques d’ingénierie sociale pour maximiser ses chances de succès. Voici les étapes typiques d’une attaque :

1. Ciblage initial : L’attaquant identifie une victime potentielle, généralement une personne occupant un poste sensible ou ayant accès à des informations stratégiques.
2. Contact frauduleux : Un message est envoyé, se faisant passer pour un membre du support technique de Signal. Le ton est urgent, parfois menaçant, pour inciter à agir rapidement.
3. Guidage vers la clé de récupération : La victime est invitée à activer les sauvegardes, puis à localiser et partager sa clé de récupération. Le processus est détaillé dans le message, avec des captures d’écran ou des liens vers les paramètres de l’application.
4. Exfiltration des données : Une fois la clé obtenue, l’attaquant peut télécharger les sauvegardes existantes, consulter l’historique complet des messages, et éventuellement reprendre le contrôle du compte.
5. Exploitation prolongée : Même si la victime change de numéro de téléphone ou régénère une nouvelle clé, l’ancienne clé reste valide pour les sauvegardes déjà récupérées, permettant une surveillance continue.

Les objectifs de ces attaques sont multiples :

• Collecte de renseignements : Accès à des conversations privées, échanges stratégiques ou informations sensibles partagées au sein de groupes.
• Infiltration de réseaux : Utilisation du compte compromis pour envoyer des messages frauduleux à d’autres contacts, élargissant ainsi l’accès à des cibles secondaires.
• Déstabilisation : Dans certains cas, la prise de contrôle d’un compte peut servir à diffuser de fausses informations ou à semer la confusion au sein d’organisations cibles.

Que faire pour se protéger ?

Face à cette menace, les autorités recommandent une série de mesures immédiates et à long terme pour les utilisateurs de Signal, en particulier ceux qui sont des cibles potentielles. Voici les actions concrètes à mettre en œuvre :

1. Désactiver immédiatement les sauvegardes et régénérer la clé de récupération

• Ouvrez les paramètres de Signal (⚙️).
• Allez dans Chats et médias > Sauvegardes.
• Désactivez les sauvegardes et générez une nouvelle clé de récupération.
• Cette nouvelle clé invalidera automatiquement l’ancienne, empêchant tout accès futur via celle-ci.
• Acceptez que les sauvegardes existantes soient perdues : une fois la nouvelle clé générée, les anciennes sauvegardes ne pourront plus être restaurées.

2. Vérifier les appareils connectés et les sessions actives

• Dans les paramètres de Signal, consultez la liste des appareils liés à votre compte.
• Supprimez tout appareil inconnu ou suspect.
• Vérifiez les sessions actives et déconnectez celles qui ne vous appartiennent pas.

3. Activer le verrouillage d’écran et l’authentification à deux facteurs

• Configurez un code PIN ou un mot de passe pour déverrouiller Signal.
• Activez l’authentification à deux facteurs (2FA) via un code SMS ou une application d’authentification (Google Authenticator, Authy, etc.).
• Ces mesures compliquent l’accès non autorisé, même en cas de vol de la clé de récupération.

4. Être vigilant face aux messages suspects

• Ne partagez jamais votre clé de récupération par message, e-mail ou appel, même si le demandeur prétend être un employé de Signal.
• Signal ne demande jamais ce type d’information via ses canaux officiels.
• En cas de doute, contactez le support officiel de Signal via son site web ou ses canaux vérifiés (pas via les liens ou numéros fournis dans un message suspect).

5. Surveiller les activités suspectes

• Si vous recevez un message inhabituel vous demandant d’activer des sauvegardes ou de partager une clé, ne répondez pas.
• Vérifiez l’expéditeur : les messages officiels de Signal proviennent de numéros ou d’adresses spécifiques (par exemple, +1 855-744-6243 aux États-Unis).
• Signalez tout comportement suspect à Signal via settings > Help > Contact us.

Que faire si vous pensez avoir été compromis ?

Si vous suspectez d’avoir partagé votre clé de récupération ou si vous remarquez des activités inhabituelles sur votre compte :

1. Générez une nouvelle clé de récupération sans délai, comme décrit ci-dessus.
2. Changez votre numéro de téléphone si possible, et informez vos contacts de ne plus vous identifier via l’ancien numéro.
3. Passez en revue vos conversations pour identifier d’éventuelles fuites d’informations sensibles.
4. Signalez l’incident aux autorités compétentes (CERT, ANSSI, FBI selon votre localisation).
5. Envisagez une réinitialisation complète : supprimez et réinstallez Signal, puis restaurez uniquement les messages essentiels depuis une sauvegarde récente et sûre.

Signal et les autorités : une réponse en évolution

Signal a réagi à ces alertes en rappelant que l’application elle-même n’a pas été compromise. Dans un communiqué interne, l’équipe a souligné que la sécurité de bout en bout repose sur la confiance des utilisateurs dans leurs propres pratiques. Signal continue d’améliorer ses mécanismes de sécurité, notamment en renforçant les avertissements lors de l’activation des sauvegardes ou de la génération de clés de récupération. Cependant, l’application ne peut pas protéger contre les erreurs humaines ou les attaques par ingénierie sociale.

Les autorités, de leur côté, intensifient leurs efforts pour traquer ces groupes. Le programme Rewards for Justice du Département d’État américain offre jusqu’à 10 millions de dollars pour toute information menant à l’identification ou à l’arrestation de membres de UNC5792. Cette récompense reflète l’importance stratégique de ces enquêtes et la volonté de dissuader d’autres acteurs de mener des campagnes similaires.

Un rappel sur les bonnes pratiques en cybersécurité

Cette campagne illustre une tendance croissante dans le cyberespionnage : l’exploitation des fonctionnalités légitimes des applications plutôt que le piratage pur. Les attaquants misent sur la méconnaissance des utilisateurs et leur confiance dans les outils qu’ils utilisent quotidiennement. Pour s’en prémunir, voici quelques principes à adopter :

• Ne jamais partager d’informations sensibles (mots de passe, clés de récupération, codes 2FA) via des canaux non sécurisés.
• Vérifier systématiquement l’authenticité des demandes, même si elles semblent urgentes ou officielles.
• Rester informé des alertes de sécurité publiées par les éditeurs de logiciels et les agences gouvernementales.
• Limiter l’activation des fonctionnalités avancées (comme les sauvegardes cloud) aux appareils et comptes strictement nécessaires.

Conclusion : une menace persistante nécessitant une vigilance constante

L’évolution de cette campagne d’espionnage russe montre que les acteurs malveillants adaptent leurs tactiques pour exploiter les fonctionnalités les plus utiles des applications de messagerie sécurisée. La clé de récupération de Signal, conçue pour protéger les utilisateurs, devient ainsi une porte d’entrée pour les attaquants. Pour les cibles potentielles — responsables gouvernementaux, journalistes, militaires — la vigilance doit être de mise, non seulement dans l’usage des outils, mais aussi dans la gestion des données sensibles.

Les mesures de protection existent, mais leur efficacité dépend de la réactivité des utilisateurs. Désactiver les sauvegardes, régénérer les clés, activer le 2FA et surveiller les appareils liés sont des gestes simples mais essentiels. Signal reste un outil de communication sûr, à condition que ses utilisateurs en comprennent les limites et les risques. Dans un contexte géopolitique tendu, où les cyberattaques deviennent un outil privilégié des États, la prudence n’est plus une option, mais une nécessité.