Le Centre de Coordination des Crises Cyber (C4) publie une note d’alerte signalant une hausse d’attaques visant les messageries instantanées, en particulier Signal (et aussi WhatsApp), contre des personnalités politiques et cadres de l’administration, notamment des secteurs régaliens.

  • Les attaques reposent sur de la fraude à l’identité et le détournement de fonctionnalités légitimes (association d’appareils, transfert de compte), permettant l’accès à l’historique des conversations, au carnet d’adresses, l’usurpation d’identité pour envoyer des messages, et des usages de désinformation/manipulation dans des contextes d’ingérence étrangère.

  • Deux approches sont décrites sur Signal:

    1. Faux compte “Signal Support” demandant un code de validation après avoir utilisé les identifiants de la cible, conduisant à la réception de tous les messages de la victime et à l’usurpation de son identité.
    2. Abus de la fonction “appareils liés” via une invitation à un faux groupe redirigeant vers une page de l’attaquant et un QR code à scanner, qui associe subrepticement un appareil contrôlé par l’attaquant au compte de la victime (mécanisme existant aussi sur WhatsApp). 📱🔗

  • Autres signes et modes opératoires: ajout d’un doublon d’un compte usurpant la victime dans des groupes pour assurer la persistance dans les conversations. 📨

  • Mesures immédiates préconisées: vérifier et supprimer les appareils liés suspects dans les paramètres, signaler tout incident au service sécurité, gérer la perte d’accès en la déclarant, et en cas de doublon dans un groupe, supprimer les deux contacts identiques et signaler le compte compromis. Recommandations d’hygiène: définir un code PIN, ne pas répondre à des messages d’inconnus, vérifier par un canal alternatif, ne jamais partager identifiants/PIN/mots de passe, ne pas scanner de QR codes reçus, privilégier Tchap pour les échanges professionnels non sensibles dans l’administration, et contacter le service sécurité en cas de doute. Les incidents doivent être signalés à l’ANSSI (3218, cert-fr@ssi.gouv.fr) ou à la DGSI. ⚠️

  • Attribution: le C4 indique juger crédible l’avis du 9 mars 2026 des services néerlandais (AIVD) attribuant ces attaques à des hackers de l’État russe. L’article est une note d’alerte destinée à prévenir et limiter ces compromissions.

TTPs observés:

  • Usurpation de support (« Signal Support ») et hameçonnage ciblé.
  • Demande de code de validation / PIN pour prise de contrôle de compte.
  • Phishing par QR code conduisant à l’association d’appareils (« linked devices »).
  • Persistance via doublons de comptes dans des groupes.
  • Usurpation d’identité et accès aux historiques/carnets d’adresses.

IOCs:

  • Aucun IOC (URL, domaine, hash, comptes) communiqué dans la note.

🔗 Source originale : https://www.cert.ssi.gouv.fr/alerte/CERTFR-2026-ALE-003/