🗓️ Contexte

Article publié le 25 mai 2026 par Denham Sadler sur Information Age (ACS), relatant les révélations faites lors d’une audition du Sénat australien (Senate Estimates) concernant une compromission de comptes WhatsApp au sein du Parlement fédéral australien.

🎯 Incident

Le 6 mars 2026, les comptes WhatsApp d’un parlementaire fédéral et de trois membres de son personnel ont été compromis via une campagne de phishing ciblée. Les comptes concernés étaient des comptes personnels, utilisés à la fois sur des appareils personnels et sur des appareils gérés par le Department of Parliamentary Services (DPS).

🔧 Technique d’attaque

La méthode employée repose sur une usurpation d’identité de support WhatsApp :

  • L’attaquant contacte la victime en se faisant passer pour une source de confiance
  • Il demande à la victime de lui transmettre un code de vérification WhatsApp légitime
  • Une fois le code obtenu, l’attaquant lie le compte à son propre appareil
  • Il peut alors se faire passer pour la victime dans toutes ses communications

🏛️ Réponse institutionnelle

  • Le DPS a contacté l’Australian Signals Directorate (ASD) après l’incident
  • Le 9 mars 2026, la version web de WhatsApp a été temporairement bloquée sur le réseau IT du DPS
  • Le blocage a été levé le dimanche suivant (15 mars)
  • Le DPS a travaillé directement avec les victimes pour gérer la compromission

🌍 Attribution et contexte international

Les preuves disponibles désignent un acteur étatique étranger comme responsable. Des campagnes similaires ont été signalées par :

  • Le Royaume-Uni : avertissement contre des acteurs russes ciblant WhatsApp et Signal de politiciens
  • Le FBI américain : alerte sur des hackers russes ciblant les comptes WhatsApp de politiciens, militaires, officiels et journalistes (milliers de comptes compromis)
  • L’Allemagne et les Pays-Bas : déclarations publiques similaires

📰 Nature de l’article

Article de presse spécialisée relatant un incident déclaré publiquement lors d’une audition parlementaire, avec pour but d’informer sur la nature de l’attaque, la réponse institutionnelle et le contexte international de cette campagne de phishing visant des responsables gouvernementaux.

🧠 TTPs et IOCs détectés

TTP

  • T1566 — Phishing (Initial Access)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1534 — Internal Spearphishing (Lateral Movement)
  • T1586.002 — Compromise Accounts: Email Accounts (Resource Development)

🟡 Indice de vérification factuelle : 40/100 (moyenne)

  • ⬜ ia.acs.org.au — source non référencée (0pts)
  • ✅ 4860 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 4 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://ia.acs.org.au/article/2026/federal-mp-s-whatsapp-account-hacked-by-state-actor.html