FR|EN
L'essentiel de la tech, chaque jour
FR|EN
Cybersécurité28 juin 2026· via Security Affairs

Des espions russes exploitent les sauvegardes Signal pour lire des conversations

Des espions russes exploitent les sauvegardes Signal pour lire des conversations

Image : Security Affairs

Des opérateurs cyber russes liés au FSB ont modifié leur tactique dans une campagne de hameçonnage. Ils ciblent désormais les clés de récupération des sauvegardes Signal pour accéder discrètement à des années de conversations privées et prendre le contrôle permanent des comptes. Le FBI et la CISA ont actualisé leur avis de mars pour préciser que les attaquants ne se contentent plus de voler les codes SMS : ils guident les victimes pour activer les sauvegardes et leur soutirer directement la clé de récupération. Une fois obtenue, cette clé permet non seulement de lire les messages actuels, mais aussi l’intégralité de l’archive. Elle reste valide même si la cible tente de réinitialiser son compte.

Un piège en deux étapes aux conséquences durables

Les nouveaux messages frauduleux se présentent comme des alertes de support, l’une simulant un déploiement obligatoire de l’authentification à deux facteurs, l’autre avertissant d’une perte imminente de données. Tous deux guident les utilisateurs pas à pas pour activer les sauvegardes Signal et révéler la clé de récupération à 30 chiffres. Les victimes qui collent cette clé dans le chat donnent aux attaquants un accès permanent à leurs conversations privées, groupes et fichiers partagés. Contrairement à un code de vérification temporaire, la clé ne expire jamais. Une clé compromise peut donc déverrouiller tout futur compte lié au même numéro de téléphone, sauf si l’utilisateur génère manuellement une nouvelle clé dans les paramètres.

Pourquoi ce changement est critique

Le FBI et la CISA soulignent que le chiffrement de bout en bout de Signal reste intact : la faille provient du fait que les utilisateurs sont trompés et livrent des identifiants légitimes. Les deux groupes suivis, UNC5792 et UNC4221, sont publiquement associés à des officiers du renseignement russe intégrés à des unités frontalières et militaires. Les premières versions de cette campagne reposaient sur des codes de vérification volés ou des liens d’invitation falsifiés, mais cette nouvelle approche est plus efficace et destructrice. Les équipes de sécurité recommandent désormais aux organisations utilisant Signal pour des communications sensibles de vérifier leurs paramètres de sauvegarde, désactiver les sauvegardes cloud automatiques et régénérer immédiatement les clés de récupération en cas de suspicion de compromission.

Source : Security Affairs. Synthèse éditoriale assistée par IA — TechnoExpress.

Lire la source originale sur Security Affairs →

← Retour à l'accueil