Le département d'État américain a officialisé une offre de récompense pouvant atteindre 10 millions de dollars pour obtenir des renseignements permettant de démasquer ou de situer des pirates informatiques liés aux services de renseignement russes. Selon les informations disponibles, ces groupes mènent une campagne de phishing de grande ampleur ciblant les utilisateurs des applications de messagerie sécurisée Signal et WhatsApp.

L'opération, suivie par le FBI depuis plusieurs mois, aurait déjà permis aux assaillants de prendre le contrôle de milliers de comptes. Les victimes sont décrites comme des « personnes à haute valeur de renseignement », incluant des agents publics américains, actuels ou anciens, des militaires, des personnalités politiques et des journalistes d'investigation. Les attaquants chercheraient à intercepter les communications sensibles de ces cibles.

Des techniques d'usurpation sophistiquées

Les pirates opèrent en se faisant passer pour des services d'assistance technique automatique des messageries Signal ou WhatsApp. Les utilisateurs reçoivent des messages les invitant à cliquer sur un lien ou à communiquer des codes de vérification ou des mots de passe de compte. Si la personne ciblée suit les instructions, elle lie sans le savoir l'appareil du pirate à son propre compte, ce qui permet aux attaquants de lire tous les nouveaux messages, ou aboutit à un détournement complet du compte.

Une évolution notable a été observée récemment. Désormais, les pirates demandent également aux utilisateurs de créer une sauvegarde de l'ensemble de leurs communications passées, puis de fournir la longue phrase de passe qui sert à chiffrer ces sauvegardes sur les serveurs de Signal. En obtenant cette clé, les attaquants peuvent accéder à l'historique intégral des conversations, contournant ainsi la protection de confidentialité normalement offerte par l'application. Signal intègre en effet une fonctionnalité de sécurité empêchant la lecture des messages antérieurs en cas d'intrusion, mais cette parade est neutralisée si la clé de sauvegarde est compromise.

Deux groupes identifiés

Le FBI a désigné les deux entités russes responsables de cette campagne sous les codes UNC5792 et UNC4221. L'agence fédérale a publié une mise à jour la semaine dernière pour signaler l'évolution des tactiques employées par ces groupes. Une alerte initiale avait déjà été diffusée en mars dernier, mettant en garde contre des campagnes de phishing visant des cibles de haut rang.

Exemple d'un message frauduleux repéré par les enquêteurs : les pirates avertissent les utilisateurs d'une prétendue recrudescence de tentatives de piratage, imputée à des hackers iraniens ou de pays postsoviétiques. Ils annoncent une mise à jour des conditions d'utilisation de Signal et l'introduction d'une « vérification à deux facteurs obligatoire ». Le message incite ensuite la victime à configurer une sauvegarde Signal et à en fournir la clé de récupération, sous couvert de protection.

Une récompense sans précédent

L'offre de 10 millions de dollars, rendue publique par les autorités américaines, vise à recueillir des informations cruciales sur les individus ou les structures à l'origine de ces cyberattaques. Cette somme est proposée dans le cadre du programme de récompenses pour la lutte contre le terrorisme et les menaces cybernétiques. Washington espère ainsi encourager d'éventuels informateurs au sein des réseaux russes ou des services de renseignement à fournir des éléments permettant de mettre un terme à ces opérations d'espionnage.

Les autorités recommandent aux utilisateurs de Signal et WhatsApp de rester extrêmement vigilants face à toute communication non sollicitée, en particulier celles qui réclament des informations personnelles ou des codes d'accès. Elles rappellent que les applications légitimes ne demandent jamais de tels renseignements par message.