Le CERT-FR publie l'alerte CERTFR-2026-ALE-003 sur le détournement de Signal et WhatsApp sans malware. Trois techniques documentées ciblent personnalités politiques et cadres d'État.
En bref
- Le CERT-FR publie l'alerte CERTFR-2026-ALE-003 sur le détournement de comptes Signal, WhatsApp et Telegram sans aucun logiciel malveillant
- Trois techniques documentées : usurpation du support, QR codes malveillants, duplication de compte — ciblant personnalités politiques, cadres d'État et dirigeants
- Action immédiate : activer le code PIN sur Signal/WhatsApp et vérifier la liste des appareils liés à vos comptes de messagerie
Le 20 mars 2026, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) a publié via son CERT-FR une alerte de niveau élevé — référencée CERTFR-2026-ALE-003 — après avoir détecté une recrudescence significative de campagnes de compromission de comptes de messageries instantanées. L'élément particulièrement préoccupant de cette alerte est que ces attaques ne nécessitent aucun logiciel malveillant, aucune exploitation de vulnérabilité logicielle, aucun accès physique à l'appareil. Les attaquants exploitent uniquement les fonctionnalités légitimes des applications elles-mêmes — Signal, WhatsApp, Telegram — combinées à des techniques d'ingénierie sociale sophistiquées pour prendre le contrôle complet de comptes de personnes à profil sensible. Élaborée dans le cadre du Centre de coordination des crises cyber (C4), cette alerte vise en priorité les personnalités politiques et hautes autorités de l'État, les cadres de l'administration publique, les journalistes, les dirigeants d'entreprises sensibles et plus largement tout utilisateur dont la compromission du compte de messagerie pourrait avoir des conséquences sur la sécurité nationale ou économique de la France. La nature des cibles visées et l'intensité du signal suggèrent fortement une campagne d'espionnage structurée, potentiellement commanditée par un acteur étatique.
Les trois techniques d'attaque documentées par le CERT-FR
Impact et exposition : qui est réellement concerné
Recommandations immédiates du CERT-FR
- Définir un code PIN sur Signal et WhatsApp et activer le verrou d'inscription (empêche le transfert de compte sans le PIN)
- Vérifier immédiatement et régulièrement la liste des « appareils liés » dans Signal, WhatsApp et Telegram — révoquer tout appareil non reconnu
- Ne jamais partager un code de vérification SMS ou un code PIN par message, e-mail ou téléphone, quelle que soit la demande — aucun support légitime ne le demandera
- Ne pas scanner de QR codes non sollicités ou provenant de sources non vérifiées, même en contexte professionnel
- Vérifier toute demande inhabituelle (virement, décision urgente) via un canal de communication alternatif (appel vocal direct sur un numéro connu)
- Signaler tout comportement suspect au CERT-FR via cert-fr@ssi.gouv.fr ou le 3218
- Pour les organisations : interdire les messageries grand public pour les échanges sensibles et imposer des solutions souveraines auditées
Point clé à retenir
Les attaques documentées par le CERT-FR dans l'alerte CERTFR-2026-ALE-003 rappellent qu'aucune application, même réputée sécurisée comme Signal, n'est à l'abri d'une compromission par ingénierie sociale. La vérification régulière des appareils liés et l'activation du code PIN sont des mesures gratuites, simples et immédiatement efficaces.
Comment vérifier si mon compte Signal a déjà été compromis par cette méthode ?
Ouvrez Signal, allez dans Paramètres → Appareils liés. Si vous voyez des appareils que vous ne reconnaissez pas, votre compte est potentiellement compromis — supprimez-les immédiatement. Vérifiez également si votre code PIN est actif dans Paramètres → Compte → Verrou d'inscription. Si votre compte a été transféré sur un autre appareil à votre insu, vous aurez perdu l'accès à vos messages — dans ce cas, réinstallez Signal et réactivez votre numéro pour reprendre le contrôle, puis signalez l'incident au CERT-FR.
Les organisations doivent-elles interdire Signal pour les communications professionnelles ?
Pour les échanges portant sur des informations sensibles ou classifiées, oui. Le CERT-FR et l'ANSSI recommandent pour l'administration française l'utilisation de Tchap (messagerie souveraine de l'État) ou d'Olvid (certifié CSPN). Signal reste une option acceptable pour les communications non sensibles, à condition d'appliquer strictement les mesures de sécurité décrites dans cette alerte. La règle générale est d'adapter le niveau de sécurité de l'outil au niveau de sensibilité de l'information échangée.
Comment se protéger contre le détournement de messageries sans malware ?
La protection contre ces attaques fileless repose sur des mesures organisationnelles et techniques. Côté technique : activer la vérification en deux étapes sur toutes les applications de messagerie professionnelle, configurer les appareils de confiance, et surveiller les connexions depuis des localisations inhabituelles. Côté organisationnel : former les équipes à ne jamais partager d'informations sensibles via des messageries grand public non approuvées par la DSI.
Quelles messageries sont autorisées pour les échanges professionnels sensibles ?
Pour les échanges d'informations sensibles, le CERT-FR recommande des solutions homologuées ou certifiées par l'ANSSI, notamment les solutions de la gamme Tchap pour les administrations françaises. Les messageries grand public (WhatsApp, Signal dans un contexte non maîtrisé) ne doivent pas être utilisées pour des informations classifiées ou sensibles. Chaque organisation doit définir une politique claire selon la sensibilité des informations échangées.
Comment détecter qu'un compte de messagerie a été compromis sans présence de malware ?
Les indicateurs sont subtils : connexions depuis des adresses IP inhabituelles ou des plages horaires anormales, création de règles de transfert automatique vers des adresses externes, modification des paramètres de récupération de compte. La mise en place de logs d'audit granulaires et d'alertes comportementales sur les plateformes de messagerie (Microsoft 365, Google Workspace) permet de détecter ces anomalies en temps réel. Réviser régulièrement les règles de messagerie et les sessions actives est indispensable.
Consultez le bulletin officiel CERTFR-2026-ALE-003 et les recommandations ANSSI sur la messagerie professionnelle.
Votre organisation est-elle prête face aux menaces sans malware ?
Ayi NEDJIMI réalise des audits de sensibilisation et des tests d'ingénierie sociale pour évaluer la résistance de vos équipes aux attaques documentées par le CERT-FR.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est un expert senior en cybersécurité offensive et intelligence artificielle avec plus de 20 ans d'expérience. Spécialisé en rétro-ingénierie, forensics numériques et développement de modèles IA, il accompagne les organisations dans la sécurisation d'infrastructures critiques.
Expert judiciaire et conférencier reconnu, il intervient auprès des plus grandes organisations françaises et européennes. Ses domaines couvrent l'audit Active Directory, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares et l'IA générative (RAG, LLM).
Ressources & Outils de l'auteur
Articles connexes
Mandiant M-Trends 2026 : accès initial cédé en 22 secondes
Le rapport M-Trends 2026 de Mandiant révèle que l'accès initial est cédé en 22 secondes et que les ransomwares adoptent le recovery denial pour rendre toute restauration impossible.
Medusa Ransomware : 9 jours hors-ligne pour un hôpital US
Medusa ransomware a paralysé le University of Mississippi Medical Center pendant 9 jours : 35 cliniques fermées, 1 To de données médicales exfiltrées, rançon de 800 000 dollars.
GlassWorm utilise Solana comme C2 pour son RAT furtif
GlassWorm utilise la blockchain Solana comme dead drop C2 et cible pour la première fois l'écosystème MCP, rendant son RAT quasi impossible à bloquer.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire