Table des matières
Votre messagerie chiffrée n’est peut-être pas aussi sécurisée que vous le pensez. La CISA, l’agence américaine de cyberdéfense, vient de publier un rapport alarmant : des hackers soutenus par des États contournent activement le chiffrement de bout en bout de WhatsApp et Signal. Phishing, QR codes piégés, fausses applications, logiciels espions comme Pegasus : ces cyberattaquants disposent d’un arsenal sophistiqué pour espionner leurs cibles.
Voici ce que révèle ce rapport et comment vous en protéger.
Des hackers d’État ciblent WhatsApp et Signal
La CISA identifie clairement la menace : des acteurs malveillants soutenus par des États, notamment la Russie, travaillent activement à contourner le chiffrement de bout en bout des messageries sécurisées.
Les cibles prioritaires :
- Personnalités politiques actuelles et anciennes
- Militaires et agents de renseignement
- Opposants politiques et membres de la société civile
- Toute personne « d’importance stratégique »
Ces attaques ne visent pas le grand public pour l’instant, mais les techniques utilisées sont suffisamment sophistiquées pour inquiéter les experts en cybersécurité.
Technique n°1 : les QR codes piégés
L’une des méthodes les plus efficaces exploite la fonctionnalité « appareils liés » de Signal et WhatsApp.
Comment ça fonctionne :
Ces applications permettent de lier plusieurs appareils à un même compte. Vous scannez un QR code depuis votre téléphone, et votre compte devient accessible sur un autre appareil (tablette, ordinateur).
L’arnaque :
La CISA a identifié deux groupes de hackers, Sandworm et Turla, qui créent de faux QR codes. En incitant la victime à scanner ce code (via phishing, faux email, fausse page web), ils lient le compte à un appareil qu’ils contrôlent.
Résultat : Tous les messages de la victime sont automatiquement synchronisés sur le smartphone du pirate. Le chiffrement de bout en bout devient inutile puisque l’attaquant est désormais un « appareil autorisé ».
Technique n°2 : les failles zero-click
Les failles zero-click sont le cauchemar absolu en cybersécurité. Elles ne nécessitent aucune action de la victime.
Qu’est-ce qu’une faille zero-click ?
Votre appareil est compromis sans que vous ne cliquiez sur quoi que ce soit. Même en étant prudent, même en refusant systématiquement les liens suspects, vous êtes vulnérable.
Ces failles exploitent des bugs profonds dans le système d’exploitation ou les applications. Les attaquants les découvrent avant les éditeurs et les gardent secrètes pour pouvoir les exploiter.
Pegasus, l’espion invisible :
Le logiciel espion Pegasus, développé par l’entreprise israélienne NSO Group, utilise ces failles zero-click. Il a été au cœur d’un scandale mondial d’espionnage, y compris sur des iPhone réputés plus sécurisés.
Une fois installé, Pegasus accède à tout : messages, photos, caméra, micro, localisation. Le chiffrement des messageries ne sert plus à rien puisque le logiciel capture les messages avant qu’ils ne soient chiffrés ou après qu’ils soient déchiffrés.
Technique n°3 : les fausses applications
La CISA a identifié une suite de logiciels espions sur Android baptisée Clayrat, propagée via plusieurs canaux :
Canaux de distribution :
- Chaînes Telegram créées spécifiquement pour l’arnaque
- Faux sites web se faisant passer pour WhatsApp, TikTok, YouTube
- Liens de phishing dans des emails ciblés
Le piège :
Ces fausses applications ressemblent trait pour trait aux vraies. Même interface, même logo, mêmes fonctionnalités apparentes. Une fois installée, l’application espionne intercepte tous les messages avant qu’ils ne soient chiffrés.
L’utilisateur croit utiliser WhatsApp ou Signal normalement, sans savoir que chaque message transite par le serveur des attaquants.
Pourquoi le chiffrement ne suffit plus
Le chiffrement de bout en bout reste la meilleure protection contre l’espionnage de masse. Mais ces nouvelles techniques le contournent intelligemment.
Le problème fondamental :
Le chiffrement protège les messages en transit entre deux appareils. Mais si l’un des appareils est compromis, le chiffrement devient inutile. Les messages sont lus avant d’être chiffrés (à l’envoi) ou après avoir été déchiffrés (à la réception).
Les points faibles exploités :
- Confiance dans les QR codes légitimes
- Impossibilité de détecter une faille zero-click
- Difficulté à distinguer une vraie app d’une fausse
- Autorisation volontaire (mais trompée) donnée par la victime
La CISA qualifie ces méthodes de « techniques sophistiquées de ciblage et d’ingénierie sociale ». Elles exploitent la psychologie humaine autant que les failles techniques.
Les logiciels espions commerciaux : un marché florissant
La CISA confirme être « consciente que plusieurs acteurs de la menace informatique utilisent activement des logiciels espions commerciaux pour cibler les utilisateurs d’applications de messagerie mobile ».
Pegasus et les autres :
NSO Group, créateur de Pegasus, a été interdit de cibler les utilisateurs de WhatsApp après un vaste scandale. Mais d’autres entreprises vendent des outils similaires à des gouvernements du monde entier.
Ces logiciels sont légalement vendus « pour lutter contre le terrorisme et la criminalité », mais sont régulièrement détournés pour espionner des opposants politiques, des journalistes et des militants.
Comment vous protéger
Vérifiez vos appareils liés régulièrement :
Sur Signal : Paramètres > Appareils liés
Sur WhatsApp : Paramètres > Appareils liés
Déconnectez immédiatement tout appareil que vous ne reconnaissez pas.
Ne scannez JAMAIS un QR code suspect :
- Même si l’email semble légitime
- Même si le message vient d’un contact
- Même si le site web ressemble à l’officiel
Utilisez uniquement les QR codes générés directement dans vos applications.
Téléchargez uniquement depuis les stores officiels :
- App Store pour iOS
- Google Play Store pour Android
- Jamais depuis un lien reçu par email ou SMS
- Jamais depuis un site web tiers
