🗓️ Contexte

Article publié le 28 mai 2026 par TechCrunch (Lorenzo Franceschi-Bicchierai). L’information provient de signalements relayés par le journaliste Josh Rogin (Washington Post) et de Mohammed Al-Maskati, directeur de la Digital Security Helpline d’Access Now.

🎯 Nature de l’attaque

Une nouvelle campagne de phishing cible les utilisateurs de l’application de messagerie Signal. Les attaquants se font passer pour le support officiel de Signal via un compte nommé « Signal Support » et envoient un message prétextant un problème de synchronisation menaçant la perte permanente des sauvegardes.

Le message demande à la victime de partager sa clé de récupération (recovery key), utilisée pour déchiffrer les Secure Backups hébergées sur les serveurs de Signal.

👥 Victimes identifiées

  • Plusieurs militants anti-Parti Communiste Chinois (PCC) ont reçu ce message
  • Deux autres individus, non liés aux activistes chinois, ont également été ciblés selon Access Now
  • La campagne pourrait être plus large et toucher d’autres communautés

⚙️ Mécanisme technique

  • Signal propose une fonctionnalité opt-in Secure Backups lancée l’année précédente, permettant de sauvegarder le contenu du compte sur les serveurs Signal, chiffré par une clé de récupération jamais transmise aux serveurs Signal
  • Le vol de la clé de récupération constitue une première étape : les attaquants doivent ensuite prendre le contrôle du compte pour accéder aux archives
  • Cette attaque se distingue des campagnes précédentes qui visaient à réenregistrer le compte sur un appareil contrôlé par l’attaquant (sans accès aux anciens messages) ; ici, l’objectif est d’accéder aux messages, photos et documents archivés

🏢 Réaction de Signal

  • La présidente de Signal, Meredith Whittaker, a confirmé travailler sur des mitigations et surveiller la situation
  • Signal rappelle qu’il ne contacte jamais les utilisateurs en premier et ne demande jamais clé de récupération, code d’enregistrement ou PIN
  • Signal avait déjà publiquement alerté sur ce type d’attaque le mois précédent

📰 Type d’article

Article de presse spécialisée à visée informationnelle, documentant une campagne active de phishing ciblant les utilisateurs de Signal, avec témoignages de sources directes.

🧠 TTPs et IOCs détectés

TTP

  • T1566 — Phishing (Initial Access)
  • T1598 — Phishing for Information (Reconnaissance)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1539 — Steal Web Session Cookie (Credential Access)
  • T1056.001 — Input Capture: Keylogging (Collection)
  • T1534 — Internal Spearphishing (Lateral Movement)

🟡 Indice de vérification factuelle : 40/100 (moyenne)

  • ⬜ techcrunch.com — source non référencée (0pts)
  • ✅ 6660 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 6 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://techcrunch.com/2026/05/28/hackers-are-trying-to-steal-signal-users-backups-in-new-wave-of-phishing-attacks/