Le FBI et la Cybersecurity and Infrastructure Security Agency (CISA) ont averti que des hackers russes du renseignement ont adopté une nouvelle tactique contre les utilisateurs de Signal en tentant de voler des clés de récupération de sauvegarde au lieu de codes de vérification, leur donnant ainsi accès à l’historique des messages chiffrés des victimes.
Il updated public service announcement développe un avis publié en mars, qui avertissait que les services de renseignement russes ciblaient les utilisateurs d’applications de messagerie sécurisée via des campagnes de phishing. Selon le FBI, les attaquants ont désormais concentré leur attention sur les clés de récupération de sauvegarde de Signal, leur permettant de restaurer les sauvegardes des messages et d’accéder aux conversations historiques sans enfreindre le chiffrement de bout en bout de Signal.
La campagne est attribuée aux services de renseignement russes (RIS), y compris des opérateurs associés au Service fédéral de sécurité (FSB) et à d’autres groupes liés au renseignement militaire. L’activité est suivie publiquement sous forme de UNC5792 et UNC4221. Les principales cibles incluent des responsables gouvernementaux actuels et anciens, des militaires, des journalistes, des personnalités politiques et des responsables liés à l’Ukraine.
Contrairement aux précédentes tentatives de phishing qui recherchaient des codes de vérification à usage unique ou des codes PIN de compte, les derniers messages encouragent les victimes à activer les sauvegardes Signal puis à partager leur clé de récupération de sauvegarde sous couvert d’une mise à jour de sécurité obligatoire ou d’une procédure de récupération de données.
Si une victime fournit la clé de récupération, les attaquants peuvent restaurer les sauvegardes chiffrées du compte, lire les conversations privées et de groupe, et potentiellement conserver l’accès aux sauvegardes futures. Selon le FBI, cet accès peut persister même si la victime change d’appareil ou crée un nouveau compte Signal avec le même numéro de téléphone, sauf si une nouvelle clé de récupération est générée.
Les agences ont souligné que ces attaques n’exploitent pas les vulnérabilités de Signal lui-même. Au lieu de cela, ils reposent entièrement sur l’ingénierie sociale, convainquant les utilisateurs de transmettre des identifiants sensibles de leur compte grâce à des messages de phishing convaincants qui se font passer pour le support Signal.
Les chercheurs affirment que les messages de phishing affirment faussement que Signal déploie l’authentification obligatoire à deux facteurs suite à une augmentation des attaques de hackers étrangers. D’autres avertissent que les messages risquent d’être perdus à moins que les utilisateurs ne réalisent un processus de récupération urgent, leur demandant de révéler leur clé de sauvegarde.
Le FBI conseille aux utilisateurs de ne jamais partager leur clé de récupération de sauvegarde, leur code de vérification ou leur code PIN avec qui que ce soit, même si la demande semble provenir de Signal. Les utilisateurs doivent également vérifier régulièrement les appareils liés à l’application, supprimer toute connexion inconnue et générer une nouvelle clé de récupération de sauvegarde s’ils soupçonnent qu’elle a pu être exposée.