Espionnage d’élus et journalistes via WhatsApp et Signal lors d’une cyberattaque russe

Des comptes WhatsApp et Signal de profils jugés sensibles sont visés par une campagne de piratage attribuée à des acteurs liés aux services de renseignement russes. Les alertes se multiplient depuis mars, côté européen comme américain, avec un constat commun, le chiffrement de bout en bout ne protège pas quand l’attaquant s’empare du compte.

Le mode opératoire repose sur l’hameçonnage, des messages qui imitent un support technique ou un contact de confiance pour soutirer un code de vérification ou un code PIN. Les autorités parlent d’une opération à large échelle, déjà marquée par des compromissions, et ciblant des responsables publics, des militaires, des diplomates et des journalistes dans plusieurs pays.

AIVD et MIVD décrivent une campagne mondiale déjà efficace

Aux Pays-Bas, les services de renseignement AIVD et MIVD ont décrit une vaste campagne mondiale visant des comptes Signal et WhatsApp. Le point important, c’est la nature des cibles, des dignitaires, des militaires, des fonctionnaires, dont des employés du gouvernement néerlandais. On parle d’espionnage, pas d’escroquerie opportuniste, avec des attaques calibrées pour des personnes dont le carnet d’adresses et les échanges valent cher.

Les agences néerlandaises estiment que l’opération est déjà un succès, au sens où les attaquants ont probablement obtenu l’accès à des informations sensibles. Le détail des données exfiltrées n’est pas rendu public, mais la logique est connue, récupérer des conversations, des pièces jointes, des contacts, des informations contextuelles sur des réunions ou des déplacements. Même sans casser le chiffrement, une prise de compte donne accès à ce que la victime voit.

Un élément revient dans les alertes, l’intérêt particulier pour Signal tiendrait à sa bonne réputation de canal indépendant et fiable, utilisé par des responsables. C’est presque paradoxal, plus une application est perçue comme sûre, plus elle devient une cible à forte valeur. Dans les administrations, des échanges de coordination, parfois sensibles sans être classifiés, passent par ces messageries, surtout en situation de crise ou de déplacement.

Le vice-amiral Peter Reesink, directeur du MIVD, a mis une limite très nette, ces applications, même chiffrées, ne sont pas des canaux adaptés à la transmission d’informations confidentielles ou sensibles. La nuance compte, il ne dit pas qu’elles sont inutiles, il rappelle que la sécurité dépend aussi des usages, des appareils et des réflexes. Si le téléphone est compromis, ou si le compte est détourné, le chiffrement ne suffit plus.

Le C4 en France alerte sur une recrudescence d’attaques ciblées

En France, le C4, Centre de coordination des crises cyber, évoque une recrudescence de campagnes visant des comptes de messagerie instantanée appartenant à des personnalités politiques ou des responsables administratifs. Ce que ça raconte, c’est un changement d’angle, les attaquants s’intéressent aux identités numériques plus qu’aux failles techniques. Ils cherchent à accéder à l’historique, voire à prendre le contrôle total et à envoyer des messages en usurpant l’identité.

Dans la pratique, une compromission de compte peut déclencher un effet domino. Une fois le compte pris, l’attaquant écrit aux contacts, dans le bon ton, avec le bon contexte, et envoie de nouveaux liens piégés. C’est le mécanisme de propagation le plus redoutable, parce qu’il transforme la victime en relais. Pour des cabinets ministériels, des équipes parlementaires ou des rédactions, le risque immédiat, c’est l’accès à des groupes de discussion où circulent des informations de travail.

Le piège, c’est le message qui a l’air banal, un support, une vérif, une urgence, résume Marc, consultant en réponse à incident, qui accompagne des organisations publiques. Il insiste sur un point, l’attaquant n’a pas besoin d’être brillant techniquement, il doit être crédible socialement. Un faux message de support, un “nouvel appareil détecté”, et la victime donne le code PIN ou le code SMS, pensant renforcer sa sécurité.

Il y a aussi une critique à poser, côté organisations. Beaucoup de structures ont intégré WhatsApp et Signal dans leurs habitudes sans cadre strict, parce que c’est rapide et universel. Mais si on autorise ces canaux, il faut des règles, interdiction d’y partager certains documents, procédures de vérification hors messagerie, et surtout formation. Sans ça, on se retrouve avec un outil grand public utilisé comme un canal quasi officiel, ce qui augmente mécaniquement la surface d’attaque.

Le FBI et la CISA évoquent des milliers de comptes compromis

Aux États-Unis, le FBI et la CISA ont publié une alerte conjointe sur des acteurs associés aux services de renseignement russes visant des utilisateurs d’applications de messagerie, dont Signal. Le document décrit des tentatives pour contourner le chiffrement en ciblant directement les comptes. L’idée est simple, plutôt que d’attaquer l’algorithme, on attaque la personne, ses codes, ses habitudes, ses réflexes face à un message alarmant.

Le directeur du FBI, Kash Patel, a indiqué que la campagne vise des individus présentant un grand intérêt en matière de renseignement, responsables actuels et anciens du gouvernement, militaires, personnalités politiques, journalistes. Il a aussi évoqué un point marquant, des milliers de comptes auraient déjà été piratés. Même si la répartition géographique n’est pas détaillée, l’ordre de grandeur souligne une opération industrialisée, avec des scripts, des listes de cibles et des scénarios de phishing réutilisables.

Les recommandations officielles sont très concrètes, traiter avec suspicion les messages d’inconnus, bloquer et signaler immédiatement, activer les fonctions de sécurité disponibles. Ce n’est pas spectaculaire, mais c’est ce qui coupe la chaîne. Les autorités citent un exemple typique, un compte se présentant comme Signal Support avertit d’une connexion suspecte et demande de répondre avec un code de vérification. Une fois le code donné, la victime peut être expulsée de son propre compte.

Le plus préoccupant, c’est l’usage du compte compromis pour relancer l’attaque sur d’autres personnes. Un attaquant qui se fait passer pour un responsable peut envoyer un lien à un conseiller, un attaché de presse ou un autre journaliste, et obtenir une nouvelle compromission. Dans des environnements où tout le monde travaille en flux tendu, le message “urgent” passe trop souvent. Le risque n’est pas seulement la lecture d’anciens messages, mais la manipulation en temps réel, au moment où une décision se prépare.

Le phishing contourne le chiffrement en visant codes et appareils

Le cur de l’opération, c’est le phishing, pas une faille cryptographique. Les attaquants cherchent des codes de vérification, des codes PIN, parfois des informations permettant d’enregistrer le compte sur un nouvel appareil. Une fois l’accès obtenu, ils lisent, exportent, infiltrent des groupes, et peuvent écrire à la place de la victime. Le chiffrement de bout en bout protège le transport du message, pas la décision humaine de partager un code.

Le scénario le plus fréquent décrit par les autorités ressemble à une routine de sécurité. Un message annonce une tentative de connexion, propose un lien, demande de confirmer un code reçu par SMS ou dans l’application. Le problème, c’est que l’utilisateur pense “je sécurise”, alors qu’il transfère la clé. C’est la même mécanique que les détournements de comptes de réseaux sociaux, mais avec un enjeu plus élevé, les messageries servent à organiser des rendez-vous, des interviews, des déplacements.

Signal a reconnu être au courant d’attaques ciblées de ce type ayant conduit à des prises de compte, notamment chez des responsables publics et des journalistes. Ce point est important, il ne s’agit pas d’une rumeur ou d’un simple bruit médiatique, l’éditeur confirme la réalité d’un phénomène. À ce stade, aucune annonce publique ne parle d’une vulnérabilité logicielle majeure, ce qui renforce l’idée d’une campagne centrée sur l’ingénierie sociale.

Concrètement, les conséquences peuvent aller de la fuite d’une conversation à la compromission d’une chaîne entière de contacts. Un journaliste qui perd son compte peut exposer des sources, un élu peut exposer l’organisation interne d’un groupe politique, un militaire peut exposer des informations de planning. Et il y a un autre effet, la perte de confiance. Quand tu ne sais plus si un message vient vraiment de la personne, tu ralentis, tu vérifies, et cette friction peut être exploitée pour semer la confusion.

Pourquoi WhatsApp et Signal attirent l’espionnage russe en 2026

Si WhatsApp et Signal sont ciblés, c’est parce qu’ils sont massivement utilisés, y compris par des profils sensibles. WhatsApp reste une messagerie dominante dans de nombreux pays, et Signal est souvent choisi quand on veut une image de sécurité renforcée. Pour un service de renseignement, c’est un double intérêt, volume d’utilisateurs d’un côté, valeur des cibles de l’autre. Et la campagne décrite est pensée pour des personnes précises.

Les services néerlandais notent que la réputation de Signal joue contre lui. Quand une application est considérée comme “sûre”, les utilisateurs baissent parfois la garde sur les procédures annexes, comme la vérification d’identité ou la gestion des codes. Il y a aussi une réalité opérationnelle, ces outils sont utilisés en mobilité, dans des taxis, des gares, des couloirs, sur des écrans visibles, avec des notifications qui s’affichent. La sécurité théorique se heurte au quotidien.

Les autorités insistent sur une idée, ces canaux ne doivent pas servir à transmettre des informations classifiées. Mais la frontière est floue, une info “non classifiée” peut devenir sensible par accumulation, une liste de participants, un lieu de rendez-vous, une chronologie. Marc, le consultant, résume avec une formule sèche, ce n’est pas le secret-défense qui fuit, c’est le contexte, et le contexte, ça suffit pour agir. Cette nuance explique l’intérêt pour les historiques de discussion.

Ce dossier rappelle aussi que la menace n’est pas cantonnée à un pays. Les alertes évoquent les Pays-Bas, la France, les États-Unis, et des cibles dans plusieurs États. C’est cohérent avec une logique d’espionnage, récupérer des informations sur des alliances, des positions diplomatiques, des négociations, des enquêtes journalistiques. La réponse, elle, devra être coordonnée, parce que les comptes et les contacts traversent les frontières, et les campagnes de phishing se jouent des fuseaux horaires.