Les États-Unis offrent une récompense pouvant atteindre 10 millions de dollars pour des informations sur des hackers russes liés à l’État accusés de cibler des utilisateurs de Signal, y compris des responsables de l’OTAN, des membres du gouvernement, des journalistes et des personnes liées à l’Ukraine.
La récompense a été annoncée dans le cadre du programme Rewards for Justice du département d’État américain, qui recherche des informations sur des acteurs cybernétiques étrangers agissant contre les intérêts de sécurité nationale américaine. La campagne a été liée aux services de renseignement russes et vise à compromettre les comptes de messagerie sécurisés par l’ingénierie sociale plutôt que sur la casse du chiffrement.
Selon les autorités américaines, les attaquants ont ciblé les utilisateurs de Signal en tentant d’obtenir des informations sensibles sur la récupération de compte. Dans des avertissements récents, le FBI et la CISA ont indiqué que les pirates informatiques liés au renseignement russe sont passés du vol de codes de vérification au ciblage des clés de récupération de sauvegarde de signal, ce qui permet aux attaquants de restaurer des sauvegardes de messages chiffrés et d’accéder à des conversations passées.
Cette activité est particulièrement préoccupante car Signal est largement utilisé par des responsables, activistes, journalistes, militaires et personnels diplomatiques qui s’appuient sur des messages chiffrés pour des communications sensibles. En obtenant des clés de récupération ou d’autres identifiants d’accès aux comptes, les attaquants peuvent lire les messages sauvegardés sans exploiter une vulnérabilité dans Signal lui-même.
Les agences américaines ont attribué cette activité aux services de renseignement russes, y compris des groupes associés au FSB et aux opérations liées au renseignement militaire. La campagne recouperait apparemment les activités suivies par les chercheurs en sécurité comme UNC5792 et UNC4221.
Les attaques sont conçues pour ressembler à des demandes de sécurité ou de récupération légitimes. Les victimes peuvent recevoir des messages affirmant qu’elles doivent activer les sauvegardes, effectuer une mise à jour de sécurité ou éviter la perte de messages. L’objectif est de convaincre l’utilisateur de partager volontairement les informations de récupération.
Les autorités ont souligné que Signal lui-même n’a pas été piraté. Le risque vient du phishing et de l’ingénierie sociale, où les attaquants manipulent les utilisateurs pour qu’ils remettent des identifiants ou des clés de récupération qui ne devraient jamais être partagées.
Le gouvernement américain demande à toute personne disposant d’informations sur les hackers, leur infrastructure, leurs opérateurs ou les activités connexes de se manifester. Les tuyaux éligibles pourraient recevoir jusqu’à 10 millions de dollars s’ils aident à identifier ou localiser des individus agissant sous la direction ou le contrôle d’un gouvernement étranger.
Cet avertissement intervient dans un contexte d’inquiétude croissante concernant les opérations cybernétiques russes visant les membres de l’OTAN, les cibles liées à l’Ukraine et les responsables gouvernementaux occidentaux. Les plateformes de messagerie sécurisée sont devenues des cibles de grande valeur car elles contiennent souvent des communications politiques, diplomatiques et militaires sensibles.
Les agences de sécurité conseillent aux utilisateurs de Signal de ne jamais partager de codes de vérification, de codes PIN ou de clés de récupération de sauvegarde, même si une demande semble provenir du support Signal. Les utilisateurs doivent également examiner les appareils liés, supprimer des sessions inconnues et générer une nouvelle clé de récupération s’ils estiment que l’ancienne a pu être exposée.