Le FBI et la CISA identifient deux groupes russes derrière les attaques de phishing ciblant les clés de sauvegarde Signal

Le Bureau fédéral d'enquête (FBI) et l'Agence de cybersécurité et de sécurité des infrastructures (CISA) ont publié le 28 juin un avis conjoint actualisé concernant les campagnes de hameçonnage menées par des services de renseignement russes contre les utilisateurs de l'application de messagerie sécurisée Signal. Pour la première fois, les deux agences nomment explicitement les groupes responsables de ces attaques : UNC5792 et UNC4221.

D'après les renseignements déclassifiés dans cet avis, le groupe UNC5792 est constitué d'officiers du Service fédéral de sécurité (FSB) de Russie qui opèrent au sein de la garde-frontière russe. Le groupe UNC4221, quant à lui, serait composé d'agents d'autres services de renseignement russes. Ces désignations publiques marquent un changement dans la communication des autorités américaines, qui s'étaient abstenues de nommer ces entités lors d'un précédent avertissement émis en mars dernier.

Les attaques ciblent les clés de récupération des comptes Signal. Ce code alphanumérique, qui permet de restaurer un compte sur un nouvel appareil, est convoité par les pirates via des messages frauduleux. Ceux-ci incitent les victimes à saisir leur code de vérification à six chiffres ou à communiquer leur clé de récupération sur de faux portails imitant l'application. Une fois en possession de cette clé, l'attaquant peut lier un terminal non autorisé au compte de la victime et consulter l'intégralité de ses conversations passées et futures. Le FBI souligne que cette compromission reste effective même après que la victime a créé un nouveau compte, ce qui rend la clé de récupération particulièrement précieuse pour les assaillants.

En parallèle, le Département d'État américain a annoncé une prime de 10 millions de dollars (environ 9,3 millions d'euros) dans le cadre du programme « Rewards for Justice ». Cette récompense est destinée à toute information permettant d'identifier ou de localiser les membres du groupe UNC5792. Il s'agit d'une mesure incitative forte pour encourager les signalements et déstabiliser le réseau d'acteurs impliqués dans ces cyberattaques.

L'avis conjoint du FBI et de la CISA rappelle aux utilisateurs de Signal les bonnes pratiques de sécurité : ne jamais partager sa clé de récupération, rester méfiant face aux demandes de codes de vérification non sollicitées, et signaler toute activité suspecte. Les autorités insistent sur le fait que la clé de récupération est un élément critique de la sécurité du compte et qu'elle ne doit être utilisée que par l'utilisateur légitime, exclusivement sur un appareil de confiance.

Ces révélations interviennent dans un contexte de tensions géopolitiques et de multiplication des opérations de cyberespionnage attribuées à la Russie. Signal, prisé pour son chiffrement de bout en bout, est fréquemment employé par des professionnels de l'information, des défenseurs des droits humains et des responsables gouvernementaux, ce qui en fait une cible de choix pour des acteurs étatiques cherchant à accéder à des communications confidentielles. La nomination publique des groupes et l'offre de récompense constituent une escalade dans la réponse américaine face à ces menaces persistantes.