📰 Source : Politico.eu — Article de presse, publié le 1er avril 2026, par Zoya Sheftalovich, Sam Clark et Sebastian Starcevic.
🔍 Contexte général La Commission européenne a demandé à certains de ses hauts fonctionnaires (chefs de département et leurs adjoints) de supprimer un groupe Signal qu’ils utilisaient pour échanger des informations. Cette décision intervient dans un contexte de série de cyberattaques visant les communications internes de l’institution.
⚠️ Incidents identifiés
- Des membres des cabinets de commissaires et d’autres hauts fonctionnaires ont reçu des messages leur demandant d’entrer leurs codes PIN Signal, identifiés comme des tentatives de phishing.
- En janvier, la Commission avait détecté une cyberattaque sur l’infrastructure technique gérant ses appareils mobiles, pouvant avoir exposé des noms et numéros de téléphone de membres du personnel.
- La Commission enquête sur une cyberattaque contre ses sites web, avec des premières conclusions indiquant que des données ont été volées.
- Une conversation téléphonique privée entre un journaliste de Politico et un fonctionnaire de l’UE a été interceptée et publiée en ligne.
🎯 Campagne attribuée à des acteurs russes Les services de renseignement néerlandais ont alerté le mois précédent d’une campagne cyber mondiale à grande échelle dans laquelle des hackers liés au Kremlin se sont fait passer pour un faux chatbot de support Signal afin de soutirer les codes PIN des utilisateurs. Des alertes similaires ont été émises par les services de sécurité français, allemands, portugais et britanniques.
🛠️ Vecteurs et méthodes
- Phishing via faux chatbot Signal pour obtenir les codes PIN
- Interception de communications téléphoniques
- Compromission potentielle d’appareils mobiles (accès aux chats si le téléphone est compromis)
- Ciblage des applications Signal et WhatsApp utilisées par des officiels gouvernementaux
📌 Réponses institutionnelles
- Suppression du groupe Signal des hauts fonctionnaires
- Évaluations complètes de cybersécurité en cours
- Remplacement régulier des téléphones et appareils des fonctionnaires
- Référence à l’épisode américain « Signalgate » (2025) comme précédent illustrant les risques des messageries commerciales dans les gouvernements
🗂️ Type d’article : Article de presse généraliste à dimension CTI, visant à informer sur une série d’incidents de sécurité affectant les communications de la Commission européenne et sur les risques liés à l’usage d’applications de messagerie dans les institutions gouvernementales.
🧠 TTPs et IOCs détectés
Acteurs de menace
- Kremlin-linked hackers (state-sponsored)
TTP
- T1566 — Phishing (Initial Access)
- T1598.004 — Phishing for Information: Spearphishing via Service (Reconnaissance)
- T1539 — Steal Web Session Cookie (Credential Access)
- T1078 — Valid Accounts (Defense Evasion)
- T1430 — Location Tracking (Collection)
- T1636.002 — Protected User Data: Call Logs (Collection)
🔗 Source originale : https://www.politico.eu/article/top-eu-officials-signal-group-chat-hacking-fears/