En bref

  • Des acteurs liés au renseignement russe usurpent le support officiel de Signal pour piéger des responsables politiques, militaires et journalistes.
  • La technique est purement sociale : un faux message de sécurité pousse la victime à partager un code de vérification, accordant aux attaquants un accès persistant aux messages.
  • Le FBI et la CISA ont publié une alerte conjointe le 22 mars 2026 — vérifiez immédiatement vos appareils Signal liés et activez le verrouillage d'enregistrement.

Ce qui s'est passé

Depuis début mars 2026, des groupes de cyberespionnage liés aux services de renseignement russes — notamment des unités associées au GRU et au FSB — mènent une campagne de hameçonnage ciblée contre des personnalités de haut rang dans plusieurs pays occidentaux. La méthode est simple mais redoutablement efficace : les attaquants envoient de faux messages au nom du support officiel de Signal, signalant une prétendue activité suspecte sur le compte de la victime. Ces messages, soigneusement construits pour imiter l'interface et le ton de la messagerie sécurisée, incitent les destinataires à saisir un code de vérification ou à scanner un QR code. Une fois ce code transmis, les assaillants enregistrent leur propre appareil comme terminal secondaire sur le compte Signal de la victime, leur accordant un accès silencieux et persistant à l'intégralité des messages passés et futurs, ainsi que la capacité d'envoyer des messages au nom de la victime. Selon l'alerte conjointe publiée le 22 mars 2026 par le FBI et la CISA, la campagne aurait déjà compromis des milliers de comptes individuels dans plusieurs pays occidentaux.

Les cibles identifiées dans l'alerte incluent d'anciens responsables gouvernementaux américains et européens, des membres de l'appareil militaire, des journalistes d'investigation, des activistes pro-Ukraine et des personnalités politiques en vue. Signal est souvent choisi par ces profils précisément pour sa robustesse cryptographique — ce qui rend cette attaque particulièrement insidieuse : elle ne casse pas le chiffrement de bout en bout, elle le contourne en prenant le contrôle d'un appareil légitime. Aucune vulnérabilité technique dans Signal n'est exploitée ici. L'attaque est purement sociale, ce qui la rend difficile à détecter par les outils de sécurité classiques. Des techniques similaires avaient été documentées par BleepingComputer dès 2025 contre des utilisateurs ukrainiens de WhatsApp et Telegram.

Cette campagne s'inscrit dans une tendance plus large que nous avons déjà analysée sur ce site : les acteurs étatiques russes ont progressivement délaissé les exploits techniques complexes au profit d'opérations d'ingénierie sociale ciblées, moins détectables et plus rapides à mettre en œuvre. Notre article sur le détournement des messageries sans malware analysé par le CERT-FR soulignait déjà cette évolution inquiétante. On retrouve la même philosophie dans les campagnes APT28 BadPaw et MeowMeow ciblant l'Ukraine, où l'ingénierie sociale précède systématiquement l'implantation technique. Pour mieux comprendre ces vecteurs d'attaque, notre section cybersécurité propose des analyses détaillées des méthodes des groupes APT russes actifs en 2026.

Pourquoi c'est important

Cette campagne illustre une réalité que la communauté de la sécurité répète depuis des années : la meilleure cryptographie du monde ne protège pas contre une erreur humaine. Signal est réputé inviolable d'un point de vue technique — et cette réputation crée paradoxalement un faux sentiment de sécurité. Les utilisateurs convaincus d'être protégés parce qu'ils utilisent Signal sont parfois moins vigilants face aux tentatives d'ingénierie sociale que les utilisateurs de plateformes moins sécurisées. Pour les organisations qui utilisent Signal pour des communications sensibles — journalistes, ONG, équipes gouvernementales, directions d'entreprises exposées à l'espionnage industriel — cette campagne impose une révision immédiate des procédures de sécurité opérationnelle. La vérification régulière des appareils liés, la formation aux techniques de phishing et l'adoption de protocoles de confirmation hors-bande sont désormais incontournables pour toute structure traitant des informations sensibles. Retrouvez nos recommandations pratiques dans notre rubrique sensibilisation à la cybersécurité.

Ce qu'il faut retenir

  • Vérifiez immédiatement les appareils liés à votre compte Signal : Paramètres → Appareils liés. Révoquez tout appareil inconnu sans attendre.
  • Ne partagez jamais un code de vérification Signal, même si le message semble provenir du support officiel — Signal ne contacte jamais ses utilisateurs de cette façon.
  • Activez le verrouillage d'enregistrement (Registration Lock) dans Signal : Paramètres → Compte → Verrouillage d'enregistrement, pour empêcher toute réassociation de votre numéro sans votre code PIN.

Comment savoir si mon compte Signal a été compromis par cette campagne russe ?

Rendez-vous dans Paramètres → Appareils liés sur votre application Signal. Si vous voyez un appareil que vous ne reconnaissez pas, révoquez-le immédiatement en appuyant dessus puis en sélectionnant "Supprimer". Activez ensuite le verrouillage d'enregistrement pour protéger votre numéro contre toute réassociation frauduleuse. Si vous êtes une cible à risque élevé (journaliste, responsable politique, défenseur des droits), signalez l'incident au CERT de votre pays ou au FBI IC3 pour les victimes basées aux États-Unis. Changez également vos mots de passe sur tout service auquel vous accédez via des messages Signal si la compromission est confirmée.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact