La Cybersecurity and Infrastructure Security Agency a émis une alerte avertissant que les opérateurs de logiciels espions commerciaux ciblent les plateformes de messagerie pour déployer des exploits zéro clic sur des appareils personnels. L’agence rapporte que les assaillants se sont concentrés sur des individus de grande valeur, y compris des responsables gouvernementaux, des membres de la société civile et des hauts responsables du secteur privé. Selon l’avis, les programmes de messagerie chiffrée sont utilisés comme canaux de diffusion car les attaquants peuvent manipuler les fonctionnalités des appareils liés et les outils de récupération de compte.
CISA a déclaré que les activités récentes concernaient WhatsApp, Signal et Telegram. Selon l’avis, les acteurs malveillants utilisent des vulnérabilités à zéro clic et des techniques d’ingénierie sociale qui leur permettent de compromettre les appareils sans aucune interaction de la part de la victime. Une fois à l’intérieur d’un appareil, les opérateurs peuvent déployer des charges utiles supplémentaires pour étendre l’accès, collecter des données ou surveiller les communications. L’agence a noté que ces opérations ont été observées dans plusieurs régions et reflètent un intérêt persistant pour l’espionnage ciblant le mobile.
Techniques et cibles identifiées
L’avis note que de nombreuses victimes occupent des rôles liés à la diplomatie, à la défense ou à la prise de décision politique. Des chercheurs du Threat Intelligence Group de Google et de l’Unité 42 de Palo Alto ont identifié des campagnes dans lesquelles des acteurs liés à la Russie utilisaient la fonctionnalité d’appareils liés de Signal pour miroir des comptes et déployer des logiciels espions. Les attaquants ont également utilisé des messages de phishing et des codes QR malveillants pour connecter les appareils ciblés à l’infrastructure des attaquants. Ces méthodes permettent aux opérateurs d’établir un contrôle grâce à des fonctionnalités conçues pour offrir de la commodité à l’utilisateur.
CISA a rapporté que les attaquants se font parfois passer pour des services de messagerie légitimes afin de convaincre les victimes d’approuver des liens frauduleux d’appareils. D’autres techniques incluent l’exploitation des flux de récupération de comptes pour insérer des informations contrôlées par l’attaquant. Après avoir accédé, les opérateurs peuvent observer des échanges privés, extraire des identifiants ou installer des outils de persistance qui restent actifs à chaque redémarrage des appareils. L’avis explique que ces tactiques réduisent la probabilité d’être détectées et prolongent la durée des accès non autorisés.
CISA a averti que les programmes de messagerie chiffrée n’éliminent pas l’exposition lorsque les attaquants exploitent des fonctionnalités telles que la liaison d’appareils ou les mécanismes de récupération. Les cibles de grande valeur sont exposées à un risque accru car leurs appareils personnels contiennent souvent des matériaux sensibles liés aux fonctions professionnelles. L’agence a observé que les plateformes de messagerie sont devenues des points stratégiques d’intrusion car les attaquants considèrent les communications privées comme des sources précieuses de renseignements.
L’avis recommande aux utilisateurs de vérifier tous les appareils liés dans leurs programmes de messagerie et d’éviter de scanner des codes QR ou d’approuver les demandes de connexion provenant de sources inconnues. La CISA a orienté les utilisateurs vers des recommandations incluses dans le Guide des meilleures pratiques en communications mobiles pour les individus à forte valeur ajoutée et une ressource supplémentaire pour les groupes de la société civile opérant avec des ressources limitées. Les utilisateurs sont encouragés à activer les options d’authentification les plus puissantes disponibles, à examiner l’activité des comptes et à supprimer les associations d’appareils non reconnues.
Les analystes de la sécurité ont indiqué que le passage aux méthodes zéro clic indique que les attaquants investissent dans des techniques qui contournent les protections courantes. Selon l’avis, les personnes qui manipulent des informations sensibles devraient considérer la sécurité des appareils personnels comme une partie essentielle de leur stratégie opérationnelle plus large pour les risques opérationnels. Les plateformes de messagerie continuent d’attirer l’intérêt des acteurs malveillants qui cherchent à accéder à des conversations privées, des listes de contacts et des identifiants d’authentification.