Le FBI attribue le phishing Signal au renseignement russe

Première attribution publique par le FBI

Le FBI a publié le 20 mars 2026 un Public Service Announcement (PSA) via l'IC3, attribuant directement aux services de renseignement russes les campagnes de phishing ciblant les utilisateurs de messageries chiffrées. C'est la première attribution officielle américaine qui nomme explicitement les services de renseignement, au-delà du terme générique d'acteurs étatiques.

Cette publication intervient de manière coordonnée avec deux alertes européennes : celle des services de renseignement néerlandais (AIVD/MIVD) début mars, et celle du Centre de Coordination Cyber (C4) français publiée le même jour.

Vecteur d'attaque : détournement de la fonctionnalité Linked Devices

Les attaquants n'exploitent aucune vulnérabilité dans le protocole Signal ou le chiffrement de bout en bout. Le vecteur repose sur l'ingénierie sociale pour abuser de la fonctionnalité de liaison d'appareils (Linked Devices sur Signal, Appareils connectés sur WhatsApp).

Deux méthodes sont documentées par le FBI. La première consiste à envoyer un message usurpant l'identité du support technique de la plateforme, demandant à la cible de partager un code de vérification. La seconde utilise des QR codes malveillants qui, une fois scannés, lient silencieusement un appareil contrôlé par l'attaquant au compte de la victime.

Une fois l'appareil lié, l'attaquant reçoit en temps réel tous les messages entrants et sortants sans que la victime ne reçoive de notification. Le chiffrement E2E protège le contenu en transit, mais un appareil lié est considéré comme un terminal légitime par le protocole.

Profil des cibles et portée

Le FBI qualifie les cibles de "high intelligence value" : responsables gouvernementaux américains (actuels et anciens), personnel militaire, figures politiques et journalistes. Des milliers de comptes ont été compromis à l'échelle mondiale.

Les comptes détournés sont ensuite exploités pour des attaques de second niveau : l'attaquant utilise la confiance associée au contact compromis pour propager la campagne de phishing vers de nouvelles cibles au sein des réseaux professionnels et personnels de la victime.

Indicateurs de compromission et détection

Le PSA du FBI ne fournit pas d'IOC (Indicators of Compromise) techniques spécifiques comme des domaines ou des hash de payloads. L'alerte du C4 français fournit davantage de détails opérationnels, incluant des captures d'écran des messages de phishing types.

Pour la détection côté utilisateur, la vérification des appareils liés reste le contrôle principal. Sur Signal : Paramètres puis Appareils liés. Sur WhatsApp : Paramètres puis Appareils connectés. Tout appareil non reconnu doit être révoqué immédiatement.

Pour les organisations, la mise en place de politiques MDM (Mobile Device Management) limitant la liaison d'appareils sur les terminaux professionnels peut réduire la surface d'attaque. La sensibilisation des personnels à profil sensible reste la mitigation la plus efficace contre ce type d'attaque par ingénierie sociale.

Contexte géopolitique

Cette campagne s'inscrit dans un contexte plus large d'opérations de renseignement numérique russes ciblant les communications chiffrées des décideurs occidentaux. L'utilisation du phishing plutôt que d'exploits zero-day indique un choix opérationnel pragmatique : pourquoi investir dans le cassage du chiffrement quand l'ingénierie sociale suffit à contourner les protections.

La coordination trilatérale (US, Pays-Bas, France) dans la publication de ces alertes suggère un partage de renseignement SIGINT/HUMINT (renseignement d'origine électromagnétique et humaine) en amont, et une décision concertée de rendre l'attribution publique pour alerter les populations cibles.

Sources : FBI IC3 PSA-260320, BleepingComputer, CERT-FR C4, AIVD/MIVD