Le 20 mars 2026, le CERT-FR publie l’alerte CERTFR-2026-ALE-003 co-signée par cinq agences gouvernementales françaises simultanément : l’ANSSI, le COMCYBER, la DGA, la DGSE et la DGSI. Cette mobilisation interministérielle exceptionnelle, coordonnée par le Centre de Coordination des Crises Cyber (C4), signale une recrudescence de campagnes ciblant les comptes de messageries instantanées — Signal, WhatsApp, Telegram — de personnalités politiques, journalistes, dirigeants industriels et agents des secteurs régaliens. Le contexte est préoccupant : les méthodes employées contournent les protections classiques sans nécessiter d’exploitation technique complexe, reposant sur l’ingénierie sociale avancée, le vol de session et la compromission directe d’appareils. Dans un contexte géopolitique tendu, la co-signature de cinq agences gouvernementales sur une même alerte constitue un signal d’alarme rare que les organisations françaises ne doivent pas sous-estimer. C’est la première fois depuis plusieurs années qu’une telle convergence d’agences de renseignement et de cyberdéfense est rendue publique sous forme d’alerte commune.

  • Contexte et chronologie des événements
  • Impact sur l'écosystème cybersécurité
  • Leçons apprises et recommandations
  • Perspectives et évolutions attendues

En bref

  • CERTFR-2026-ALE-003 : campagnes actives ciblant les messageries Signal, WhatsApp, Telegram de personnalités françaises
  • Cibles : personnalités politiques, journalistes, dirigeants industriels, personnel des secteurs régaliens
  • Action requise : vérifier les appareils liés, activer le verrouillage de registre Signal, désactiver les sauvegardes cloud non chiffrées

L’alerte et son contexte

La référence CERTFR-2026-ALE-003 est publiée le 20 mars 2026 par le CERT-FR au nom du C4. La co-signature par l’ANSSI, le COMCYBER, la DGA, la DGSE et la DGSI est un événement rare dans l’histoire de la cybersécurité française, indiquant une menace évaluée au plus haut niveau interministériel. Les attaques visent spécifiquement les messageries instantanées chiffrées — Signal en particulier — pourtant perçues comme sécurisées. L’objectif est l’accès aux historiques de conversations, l’usurpation d’identité via le hijacking de compte, et l’atteinte à la confidentialité de communications sensibles. Pour contextualiser cette alerte dans le cadre réglementaire, consultez notre analyse de la directive NIS2 et son application en France selon l’ANSSI. La liste complète des mesures recommandées est disponible sur le site officiel du CERT-FR.

Aucun CVE spécifique n’est mentionné dans l’alerte : les vecteurs privilégiés sont l’ingénierie sociale avancée, le vol de session via des attaquants AiTM (Adversary-in-the-Middle), la compromission physique ou logicielle de l’appareil cible, et l’exploitation de fonctionnalités légitimes pour transférer un compte sur un appareil contrôlé par l’attaquant. Ces techniques partagent des caractéristiques avec les campagnes EvilTokens PhaaS contre Microsoft 365, qui utilisent également des techniques AiTM pour contourner le MFA.

Vecteurs d’attaque ciblant les messageries

Les attaques sur les messageries instantanées prennent plusieurs formes selon le profil de la cible. L’ingénierie sociale directe consiste à convaincre la victime de scanner un QR code malveillant ou de valider un transfert de compte — Signal et WhatsApp proposent des fonctionnalités multi-appareils qui peuvent être détournées sans exploitation technique. Le vol de session exploite une compromission préalable de l’appareil (malware, accès physique) pour extraire les clés de session des messageries sans intervention de la victime. La compromission de la sauvegarde cloud (iCloud, Google Drive) permet de récupérer l’historique des conversations si les sauvegardes ne sont pas chiffrées correctement. Ces vecteurs sont particulièrement efficaces contre des cibles qui utilisent leurs messageries personnelles pour des communications sensibles, comme l’analysent nos articles sur EvilGinx et le phishing AiTM avec bypass MFA.

Recommandations

  • Vérifier les appareils liés à chaque compte (Signal : Paramètres > Appareils liés ; WhatsApp : Paramètres > Appareils associés) et révoquer tout appareil non reconnu
  • Activer le verrouillage de registre sur Signal (Paramètres > Compte > Verrouillage du registre) pour bloquer les transferts non autorisés
  • Désactiver les sauvegardes cloud des messageries sur iCloud et Google Drive, ou s’assurer qu’elles sont chiffrées de bout en bout
  • Mettre à jour tous les appareils et applications immédiatement pour réduire la surface d’exploitation
  • Signaler toute activité suspecte au CERT-FR : cert.ssi.gouv.fr/contact

À retenir

La co-signature de CERTFR-2026-ALE-003 par cinq agences gouvernementales françaises est un signal de menace de niveau maximal. Si vous faites partie des cibles potentielles (personnalités publiques, dirigeants, journalistes, personnel régalien), auditez immédiatement vos appareils liés et vos sauvegardes cloud de messagerie.

Est-ce que Signal reste sécurisé malgré cette alerte CERT-FR ?

Oui, le protocole de chiffrement Signal reste mathématiquement solide. Les attaques décrites ne cassent pas le chiffrement : elles visent à prendre le contrôle du compte lui-même (transfert de compte, session hijacking) ou de l’appareil qui le porte. Signal utilisé correctement — verrouillage de registre activé, aucun appareil lié non reconnu, appareil non compromis — reste l’une des messageries les plus résistantes. La faille est dans l’usage, pas dans la cryptographie.

Dans le même contexte de surveillance des communications, notre article sur Silver Fox APT et les campagnes d’espionnage illustre les méthodes utilisées par des acteurs étatiques pour compromettre les canaux de communication de leurs cibles.

Quels secteurs sont prioritairement visés par ces campagnes sur les messageries ?

L’alerte CERTFR-2026-ALE-003 cible explicitement les personnalités politiques, les journalistes d’investigation, les dirigeants d’entreprises stratégiques (défense, énergie, télécommunications), et le personnel des secteurs régaliens (administration, justice, sécurité intérieure). Les OIV (Opérateurs d’Importance Vitale) et OES (Opérateurs de Services Essentiels) sont également concernés. La menace s’étend potentiellement à l’entourage professionnel immédiat des cibles prioritaires.

Comment vérifier si son compte Signal a été compromis ?

Allez dans Paramètres > Compte > Appareils liés sur Signal. Tout appareil inconnu doit être révoqué immédiatement. Vérifiez ensuite votre numéro de téléphone : si vous avez perdu la réception ou reçu un SMS de confirmation de portage non sollicité, votre SIM a peut-être été échangée. En cas de doute, ré-enregistrez votre compte Signal (cela déconnecte tous les appareils liés) et contactez immédiatement votre opérateur téléphonique.

Article suivant recommandé

Opération Checkmate : BlackSuit ransomware démantélé →

L’Opération Checkmate met fin à l’infrastructure de BlackSuit (ex-Royal) Ransomware après 450 victimes et 370 M$ extorqu

Sources et références

Conclusion

Face à l'évolution constante des menaces, une posture de sécurité proactive est indispensable. Les techniques et recommandations présentées dans cet article constituent des fondations solides pour renforcer la résilience de votre infrastructure.

Besoin d'un accompagnement expert en cybersécurité ? Contactez Ayi NEDJIMI Consultants pour un audit personnalisé de votre infrastructure.

Surface d'attaque : Ensemble des points d'entrée exploitables par un attaquant pour compromettre un système, incluant les services exposés, les interfaces utilisateur et les API.

Pour approfondir