L’Office fédéral allemand pour la protection de la Constitution et le Bureau fédéral de la sécurité de l’information ont averti que des acteurs liés aux États ciblent des comptes très en vue sur Signal, le service de messagerie chiffrée. Les conclusions proviennent d’un rapport conjoint des deux autorités de sécurité allemandes sur les menaces contre des personnalités politiques, des journalistes, des militants et d’autres personnes à l’écoute publique.
Les agences ont indiqué que les attaquants tentent d’accéder aux comptes en manipulant les processus d’authentification plutôt que de casser le chiffrement de Signal. Les méthodes signalées incluent les messages de phishing, l’ingénierie sociale et les tentatives de tromper les utilisateurs pour qu’ils partagent des codes d’enregistrement ou de vérification liés à leurs comptes.
Selon les autorités allemandes, certaines attaques impliquent de faux messages ou appels qui semblent provenir de contacts ou de fournisseurs de services de confiance. Ces messages demandent aux cibles de fournir des codes sensibles au temps ou de suivre les instructions de connexion. Si un code est partagé, les attaquants peuvent enregistrer le numéro de téléphone de la victime sur un autre appareil et prendre le contrôle du compte.
Le rapport indique que ces campagnes se concentrent sur des individus dont les communications peuvent avoir une valeur politique ou informative. Les cibles incluent des personnes impliquées dans le gouvernement, les médias, la société civile et les affaires internationales. Les agences n’ont pas nommé publiquement de victimes spécifiques.
Signal utilise un chiffrement de bout en bout afin que les messages ne puissent être lus que par l’expéditeur et le destinataire. Les autorités allemandes ont déclaré que les attaques observées ne brisent pas ce chiffrement, mais exploitent plutôt les fonctionnalités de confiance des utilisateurs et de récupération de compte. Dans ce modèle, le point faible est la gestion des identifiants d’authentification.
Le Bureau fédéral de la sécurité de l’information a conseillé aux utilisateurs de considérer les codes de vérification comme confidentiels et de ne les partager avec personne. Il recommandait également de permettre une sécurité supplémentaire des appareils, comme des verrouillages d’écran, et de maintenir le logiciel à jour. L’Office fédéral pour la protection de la Constitution a déclaré que la sensibilisation aux tactiques d’ingénierie sociale est importante pour les personnes occupant des postes sensibles.
Les agences ont décrit cette activité comme faisant partie d’efforts plus larges en cybersécurité et renseignement menés par des acteurs étatiques étrangers. Ils ont indiqué que ces opérations combinent souvent des méthodes techniques et psychologiques pour accéder aux communications.
Aucune faiblesse dans le chiffrement central de Signal n’a été signalée en lien avec ces incidents. L’avertissement se concentre sur la compromission au niveau du compte par la tromperie plutôt que sur les failles du protocole de messagerie.