Les services de renseignement n\u00e9erlandais ont r\u00e9v\u00e9l\u00e9 qu’une campagne de hackers russes cible les comptes Signal et WhatsApp de hauts fonctionnaires, militaires et journalistes dans le monde entier.<\/p>\n
Des employ\u00e9s du gouvernement n\u00e9erlandais ont d\u00e9j\u00e0 \u00e9t\u00e9 compromis, et le chiffrement de bout en bout n’a m\u00eame pas eu besoin d’\u00eatre cass\u00e9. Eh oui, l\u00e0 on parle de social engineering, tout simplement.<\/p>\n
La m\u00e9thode est assez simple, et c’est peut-\u00eatre \u00e7a le pire. Les hackers contactent directement leurs cibles en se faisant passer pour le support technique de Signal. Ils demandent de partager le code de v\u00e9rification \u00e0 six chiffres ou le code PIN, sous pr\u00e9texte de \u00ab s\u00e9curiser \u00bb le compte.<\/p>\n
Une fois le code r\u00e9cup\u00e9r\u00e9, ils se connectent et acc\u00e8dent \u00e0 l’ensemble des conversations. L’autre technique est un peu plus discr\u00e8te : les attaquants envoient un QR code pi\u00e9g\u00e9 qui lie un appareil suppl\u00e9mentaire au compte de la victime, via la fonction \u00ab appareils li\u00e9s \u00bb de Signal ou WhatsApp. \u00c0 partir de l\u00e0, les messages arrivent en temps r\u00e9el sur un appareil qu’ils contr\u00f4lent, sans que la victime ne s’en rende compte. Pratique.<\/p>\n
L’AIVD et le MIVD, les deux agences de renseignement n\u00e9erlandaises, ont confirm\u00e9 que des employ\u00e9s du gouvernement et des journalistes avaient \u00e9t\u00e9 pi\u00e9g\u00e9s. Simone Smit, directrice g\u00e9n\u00e9rale de l’AIVD, a tenu \u00e0 pr\u00e9ciser que Signal et WhatsApp en tant que plateformes n’\u00e9taient pas compromis : ce sont des comptes individuels qui ont \u00e9t\u00e9 vis\u00e9s. Le chiffrement tient bon, mais \u00e7a ne sert \u00e0 rien quand c’est l’utilisateur qui donne la cl\u00e9.<\/p>\n
Le vice-amiral Peter Reesink, directeur du MIVD, a de son c\u00f4t\u00e9 rappel\u00e9 que ces messageries ne devaient tout simplement pas \u00eatre utilis\u00e9es pour \u00e9changer des informations classifi\u00e9es ou sensibles. Les hackers auraient d\u00e9j\u00e0 acc\u00e9d\u00e9 \u00e0 des donn\u00e9es sensibles.<\/p>\n
Quelques signaux doivent vous alerter : un contact qui appara\u00eet en double dans une conversation de groupe, ou un num\u00e9ro connu qui affiche soudainement \u00ab compte supprim\u00e9 \u00bb. La r\u00e8gle de base reste simple : ne jamais communiquer un code de v\u00e9rification, m\u00eame si la demande semble venir du support officiel. Et pensez \u00e0 faire un tour dans les param\u00e8tres de Signal ou WhatsApp pour v\u00e9rifier la liste des appareils li\u00e9s \u00e0 votre compte.<\/p>\n
C’est couillon parce que ce type d’attaque n’a rien de sophistiqu\u00e9, et c’est bien \u00e7a le probl\u00e8me. Pas besoin de casser le chiffrement quand il suffit de demander poliment le code \u00e0 la personne en face.<\/p>\n
C’est du social engineering, \u00e7a marche depuis des ann\u00e9es, et \u00e7a continuera de marcher parce qu’on a quand m\u00eame tendance \u00e0 faire confiance \u00e0 un message qui a l’air officiel (et c’est bien normal).<\/p>\n
Le fait que des fonctionnaires gouvernementaux soient tomb\u00e9s dans le pi\u00e8ge en dit long sur le niveau de sophistication requis : aucun. Mais bon, il serait peut-\u00eatre bon de former un peu plus les gens qui manipulent des donn\u00e9es sensibles \u00e0 ce genre de risques.<\/p>\n