Le CERT-FR publie l'alerte CERTFR-2026-ALE-003 sur le détournement de Signal et WhatsApp sans malware. Trois techniques documentées ciblent personnalités politiques et cadres d'État.
En bref
- Le CERT-FR publie l'alerte CERTFR-2026-ALE-003 sur le détournement de comptes Signal, WhatsApp et Telegram sans aucun logiciel malveillant
- Trois techniques documentées : usurpation du support, QR codes malveillants, duplication de compte — ciblant personnalités politiques, cadres d'État et dirigeants
- Action immédiate : activer le code PIN sur Signal/WhatsApp et vérifier la liste des appareils liés à vos comptes de messagerie
Le 20 mars 2026, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) a publié via son CERT-FR une alerte de niveau élevé — référencée CERTFR-2026-ALE-003 — après avoir détecté une recrudescence significative de campagnes de compromission de comptes de messageries instantanées. L'élément particulièrement préoccupant de cette alerte est que ces attaques ne nécessitent aucun logiciel malveillant, aucune exploitation de vulnérabilité logicielle, aucun accès physique à l'appareil. Les attaquants exploitent uniquement les fonctionnalités légitimes des applications elles-mêmes — Signal, WhatsApp, Telegram — combinées à des techniques d'ingénierie sociale sophistiquées pour prendre le contrôle complet de comptes de personnes à profil sensible. Élaborée dans le cadre du Centre de coordination des crises cyber (C4), cette alerte vise en priorité les personnalités politiques et hautes autorités de l'État, les cadres de l'administration publique, les journalistes, les dirigeants d'entreprises sensibles et plus largement tout utilisateur dont la compromission du compte de messagerie pourrait avoir des conséquences sur la sécurité nationale ou économique de la France. La nature des cibles visées et l'intensité du signal suggèrent fortement une campagne d'espionnage structurée, potentiellement commanditée par un acteur étatique.
- Contexte et chronologie des événements
- Impact sur l'écosystème cybersécurité
- Leçons apprises et recommandations
- Perspectives et évolutions attendues
Recommandations immédiates du CERT-FR
- Définir un code PIN sur Signal et WhatsApp et activer le verrou d'inscription (empêche le transfert de compte sans le PIN)
- Vérifier immédiatement et régulièrement la liste des « appareils liés » dans Signal, WhatsApp et Telegram — révoquer tout appareil non reconnu
- Ne jamais partager un code de vérification SMS ou un code PIN par message, e-mail ou téléphone, quelle que soit la demande — aucun support légitime ne le demandera
- Ne pas scanner de QR codes non sollicités ou provenant de sources non vérifiées, même en contexte professionnel
- Vérifier toute demande inhabituelle (virement, décision urgente) via un canal de communication alternatif (appel vocal direct sur un numéro connu)
- Signaler tout comportement suspect au CERT-FR via cert-fr@ssi.gouv.fr ou le 3218
- Pour les organisations : interdire les messageries grand public pour les échanges sensibles et imposer des solutions souveraines auditées
Point clé à retenir
Les attaques documentées par le CERT-FR dans l'alerte CERTFR-2026-ALE-003 rappellent qu'aucune application, même réputée sécurisée comme Signal, n'est à l'abri d'une compromission par ingénierie sociale. La vérification régulière des appareils liés et l'activation du code PIN sont des mesures gratuites, simples et immédiatement efficaces.
Comment vérifier si mon compte Signal a déjà été compromis par cette méthode ?
Ouvrez Signal, allez dans Paramètres → Appareils liés. Si vous voyez des appareils que vous ne reconnaissez pas, votre compte est potentiellement compromis — supprimez-les immédiatement. Vérifiez également si votre code PIN est actif dans Paramètres → Compte → Verrou d'inscription. Si votre compte a été transféré sur un autre appareil à votre insu, vous aurez perdu l'accès à vos messages — dans ce cas, réinstallez Signal et réactivez votre numéro pour reprendre le contrôle, puis signalez l'incident au CERT-FR.
il est recommandé de-elles interdire Signal pour les communications professionnelles ?
Pour les échanges portant sur des informations sensibles ou classifiées, oui. Le CERT-FR et l'ANSSI recommandent pour l'administration française l'utilisation de Tchap (messagerie souveraine de l'État) ou d'Olvid (certifié CSPN). Signal reste une option acceptable pour les communications non sensibles, à condition d'appliquer strictement les mesures de sécurité décrites dans cette alerte. La règle générale est d'adapter le niveau de sécurité de l'outil au niveau de sensibilité de l'information échangée.
Comment se protéger contre le détournement de messageries sans malware ?
La protection contre ces attaques fileless repose sur des mesures organisationnelles et techniques. Côté technique : activer la vérification en deux étapes sur toutes les applications de messagerie professionnelle, configurer les appareils de confiance, et surveiller les connexions depuis des localisations inhabituelles. Côté organisationnel : former les équipes à ne jamais partager d'informations sensibles via des messageries grand public non approuvées par la DSI.
Quelles messageries sont autorisées pour les échanges professionnels sensibles ?
Pour les échanges d'informations sensibles, le CERT-FR recommande des solutions homologuées ou certifiées par l'ANSSI, notamment les solutions de la gamme Tchap pour les administrations françaises. Les messageries grand public (WhatsApp, Signal dans un contexte non maîtrisé) ne doivent pas être utilisées pour des informations classifiées ou sensibles. Chaque organisation doit définir une politique claire selon la sensibilité des informations échangées.
Comment détecter qu'un compte de messagerie a été compromis sans présence de malware ?
Les indicateurs sont subtils : connexions depuis des adresses IP inhabituelles ou des plages horaires anormales, création de règles de transfert automatique vers des adresses externes, modification des paramètres de récupération de compte. La mise en place de logs d'audit granulaires et d'alertes comportementales sur les plateformes de messagerie (Microsoft 365, Google Workspace) permet de détecter ces anomalies en temps réel. Réviser régulièrement les règles de messagerie et les sessions actives est indispensable.
Consultez le bulletin officiel CERTFR-2026-ALE-003 et les recommandations ANSSI sur la messagerie professionnelle.
Article suivant recommandé
TELUS Digital : ShinyHunters Vole 1 Pétaoctet de Données →ShinyHunters revendique le vol d'1 pétaoctet de données chez TELUS Digital via une attaque supply-chain sur Salesloft Dr
Conclusion
Face à l'évolution constante des menaces, une posture de sécurité proactive est indispensable. Les techniques et recommandations présentées dans cet article constituent des fondations solides pour renforcer la résilience de votre infrastructure.
Besoin d'un accompagnement expert en cybersécurité ? Contactez Ayi NEDJIMI Consultants pour un audit personnalisé de votre infrastructure.
Surface d'attaque : Ensemble des points d'entrée exploitables par un attaquant pour compromettre un système, incluant les services exposés, les interfaces utilisateur et les API.
À propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
ayi@ayinedjimi-consultants.fr
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
Qilin : 6 victimes en 4 jours, RDP enumeration au coeur du TTP
Le groupe Qilin enchaine les victimes en cette fin avril 2026 : Lifeline PCS, The Switch Enterprises, Zinkan & Barker, Jayeff Construction. Nouvelle technique de reconnaissance via l'historique RDP des serveurs compromis.
CVE-2026-33827 : RCE wormable IPv6 dans la pile Windows TCP/IP
Microsoft a corrigé CVE-2026-33827, une race condition critique CVSS 9.8 dans la pile TCP/IP Windows lors du réassemblage de fragments IPv6 avec IPSec. Wormable, non-authentifiée, sans interaction utilisateur.
CVE-2026-32202 : APT28 vole vos hashes NTLM en zéro-clic
Microsoft et CISA confirment l'exploitation active de CVE-2026-32202, un correctif incomplet du zéro-day APT28. Coercition NTLM zéro-clic via fichier .lnk : le simple affichage d'un dossier suffit à fuiter les hashes vers l'attaquant.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire