Objet: Note d’alerte – Ciblage des messageries instantanées

Résumé

Le CERT-FR observe une recrudescence de campagnes d’attaques ciblant les comptes de messagerie instantanées. Ces campagnes ciblent particulièrement les secteurs régaliens (personnalités politiques, cadres de l’administration) mais aussi les personnels de la société civile exerçant des fonctions sensibles (journalistes, industriels, etc.).

Ces attaques – quand elles réussissent – peuvent permettre à des acteurs malveillants d’accéder aux historiques de conversation, voire de prendre le contrôle des comptes de messagerie de leurs victimes et de diffuser des messages en usurpant leur identité.

Des campagnes ciblant des comptes utilisateurs de l’application de messagerie Signal ont été observées par le CERT-FR ces derniers mois, entraînant une prise de contrôle partielle ou complète d’un compte. Aucune vulnérabilité n’est exploitée, les attaquants prenant avantage de fonctionnalités légitimes de Signal. Les méthodes employées sont applicables aux autres applications de messagerie commerciales, comme WhatsApp.

Ces campagnes d’attaques visent les applications de messagerie, et non le téléphone en lui-même, qui n’est pas compromis par l’attaquant. Elles sont caractérisées par la réception de messages :

• invitant à rejoindre un groupe de discussion en scannant un QR code, ce qui aura en réalité pour effet d’associer le compte de messagerie à un appareil contrôlé par l’attaquant. Cette association permet à l’attaquant de prendre le contrôle du compte, même si la victime en conserve toujours l’accès ;
• initiant une prise de contact afin, en cas de réponse de la victime, de l’inciter à divulguer des éléments de sécurité (code PIN ou code de vérification notamment). Cette variante permet à l’attaquant de modifier le numéro de téléphone associé au compte et donc d’en prendre le contrôle de façon irrémédiable.

Dans les campagnes observées, l’attaquant contacte initialement la victime en utilisant un compte Signal nommé par exemple « Signal Support » ou « Signal Security ChatBot ». L’attaquant peut également contacter la victime via SMS, en utilisant une autre application de messagerie, ou d’autres comptes Signal préalablement compromis.

Actions immédiates à effectuer en cas de suspicion de compromission

• prévenir les contacts et ceux présents dans les groupes de la messagerie instantanée, via un autre canal, que le compte a été compromis ;
• contrôler l’absence de compte en doublon présent dans vos conversations de groupe. Le cas échéant, supprimer les comptes en doublon dont l’accès n’est plus disponible. Par exemple, pour la messagerie instantanée Signal, utiliser le nom d’utilisateur – qui est unique - pour discriminer ;
• vérifier dans les paramètres de l’application la légitimité des appareils associés au compte et supprimer les appareils inconnus ;
• en complément de ces actions, en cas de tentative de compromission, il est recommandé de déposer plainte auprès de la section de lutte contre la cybercriminalité du Parquet de Paris par l’envoi d’un courrier à l’adresse suivante :

Préconisations générales d’hygiène numérique

• définir un code PIN pour l’application ;
• ne jamais répondre à des messages reçus de la part d’individus ou d’entités pour lesquels l’utilisateur de la messagerie n’est pas certain de la véritable identité. En cas de doute, il est nécessaire de vérifier la légitimité du message via un autre canal que celui par lequel il a été reçu. Il convient de préciser que le support technique de ces messageries n’envoie jamais légitimement de messages directs aux utilisateurs ;
• ne jamais communiquer des identifiants, des codes PIN ou des mots de passe par ces messageries ;
• ne jamais scanner de QR codes reçus ;
• rester vigilant aux événements de sécurité affichés dans l’application de messagerie instantanée (par exemple : alertes de changement du numéro de sécurité d’un contact, ou encore connexion depuis un appareil inconnu) ;
• ne pas se fier au nom d’utilisateur affiché par la messagerie instantanée, qui peut être arbitrairement choisi ;
• ne pas cliquer sur des liens et ne pas ouvrir les fichiers présents dans des messages non sollicités. Un lien malveillant peut conduire à la compromission d’un téléphone mobile ;
• signaler et bloquer les comptes suspects ;
• vérifier régulièrement la liste des appareils associés et supprimer tout appareil qui n’appartient pas à l’utilisateur dans les paramètres de la messagerie instantanée ;
• confirmer le numéro de sécurité des contacts lorsque cela est possible, par exemple lors de rencontres physiques ou par un autre canal ;
• en cas de perte d’accès au compte, effectuer une inscription ou une réinscription et prévenir les contacts du nouveau nom d’utilisateur, en les invitant à bloquer l’ancien compte.

Les travaux conjoints des services membres du Centre de Coordination des Crises Cyber (C4) ont permis d’identifier une recrudescence de campagnes d’attaques ciblant les comptes de messagerie instantanées et ont publié une note d’alerte [1].