{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Applications de messagerie instantan\u00e9e","product":{"name":"N/A","vendor":{"name":"ANSSI","scada":false}}}],"affected_systems_content":"","closed_at":"2026-04-20","content":"","cves":[],"links":[{"title":"[1] Note d\u2019alerte \u2013 Ciblage des messageries instantan\u00e9es du 20 mars 2026","url":"https://www.cert.ssi.gouv.fr/uploads/20260320_NP_C4_Alerte_Ciblage_messagerie_instantanee.pdf"},{"title":"Documentation Signal sur la r\u00e9inscription","url":"https://support.signal.org/hc/fr/articles/5440120029082-Utiliser-le-code-PIN-Signal-pour-se-r\u00e9inscrire"},{"title":"Documentation Signal sur l\u2019inscription","url":"https://support.signal.org/hc/fr/articles/360007318691-Inscrire-un-num\u00e9ro-de-t\u00e9l\u00e9phone"},{"title":"Documentation de Signal sur les noms d\u2019utilisateur","url":"https://support.signal.org/hc/fr/articles/6712070553754-Nom-d-utilisateur-et-confidentialit\u00e9-du-num\u00e9ro-de-t\u00e9l\u00e9phone#my_username"},{"title":"Documentation de Signal sur le num\u00e9ro de s\u00e9curit\u00e9","url":"https://support.signal.org/hc/fr/articles/360007060632-Qu-est-ce-qu-un-num\u00e9ro-de-s\u00e9curit\u00e9-et-pourquoi-peut-il-changer"},{"title":"Documentation de Signal sur le signalement et le blocage de comptes","url":"https://support.signal.org/hc/fr/articles/360007060072-Bloquer-des-num\u00e9ros-des-noms-d-utilisateur-ou-des-groupes"},{"title":"Canevas de lettre plainte en mati\u00e8re cyber","url":"https://www.cert.ssi.gouv.fr/uploads/Canevas_de_lettre_plainte_en_matiere_cyber_PJ2.docx"},{"title":"Documentation de Signal sur la dissociation d\u2019appareils","url":"https://support.signal.org/hc/fr/articles/360007321111-Dissocier-des-appareils"}],"reference":"CERTFR-2026-ALE-003","revisions":[{"description":"Version initiale","revision_date":"2026-03-20T00:00:00.000000"},{"description":" Cl\u00f4ture de l'alerte. Cela ne signifie pas la fin d'une menace. Seule l'application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l'exploitation de la vuln\u00e9rabilit\u00e9 correspondante.","revision_date":"2026-04-20T00:00:00.000000"},{"description":"Mise \u00e0 jour de l'alerte.","revision_date":"2026-06-18T00:00:00.000000"}],"risks":[{"description":"Contournement de la politique de s\u00e9curit\u00e9"},{"description":"Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"}],"summary":"Le CERT-FR observe une recrudescence de campagnes d\u2019attaques ciblant les comptes de messagerie instantan\u00e9es. Ces campagnes ciblent particuli\u00e8rement les secteurs r\u00e9galiens (personnalit\u00e9s politiques, cadres de l\u2019administration) mais aussi les personnels de la soci\u00e9t\u00e9 civile exer\u00e7ant des fonctions sensibles (journalistes, industriels, etc.).\n\nCes attaques \u2013 quand elles r\u00e9ussissent \u2013 peuvent permettre \u00e0 des acteurs malveillants d\u2019acc\u00e9der aux historiques de conversation, voire de prendre le contr\u00f4le des comptes de messagerie de leurs victimes et de diffuser des messages en usurpant leur identit\u00e9. \n\nDes campagnes ciblant des comptes utilisateurs de l\u2019application de messagerie Signal ont \u00e9t\u00e9 observ\u00e9es par le CERT-FR ces derniers mois, entra\u00eenant une prise de contr\u00f4le partielle ou compl\u00e8te d\u2019un compte.  Aucune vuln\u00e9rabilit\u00e9 n\u2019est exploit\u00e9e, les attaquants prenant avantage de fonctionnalit\u00e9s l\u00e9gitimes de Signal. Les m\u00e9thodes employ\u00e9es sont applicables aux autres applications de messagerie commerciales, comme WhatsApp.\n\nCes campagnes d\u2019attaques visent les applications de messagerie, et non le t\u00e9l\u00e9phone en lui-m\u00eame, qui n\u2019est pas compromis par l\u2019attaquant. Elles sont caract\u00e9ris\u00e9es par la r\u00e9ception de messages : \n<ul>\n    <li> invitant \u00e0 rejoindre un groupe de discussion en scannant un QR code, ce qui aura en r\u00e9alit\u00e9 pour effet d\u2019associer le compte de messagerie \u00e0 un appareil contr\u00f4l\u00e9 par l\u2019attaquant. Cette association permet \u00e0 l\u2019attaquant de prendre le contr\u00f4le du compte, m\u00eame si la victime en conserve toujours l\u2019acc\u00e8s\u00a0; </li>\n    <li> initiant une prise de contact afin, en cas de r\u00e9ponse de la victime, de l\u2019inciter \u00e0 divulguer des \u00e9l\u00e9ments de s\u00e9curit\u00e9 (code PIN ou code de v\u00e9rification notamment). Cette variante permet \u00e0 l\u2019attaquant de modifier le num\u00e9ro de t\u00e9l\u00e9phone associ\u00e9 au compte et donc d\u2019en prendre le contr\u00f4le de fa\u00e7on irr\u00e9m\u00e9diable.</li>\n</ul>\n\nDans les campagnes observ\u00e9es, l\u2019attaquant contacte initialement la victime en utilisant un compte Signal nomm\u00e9 par exemple \u00ab\u00a0Signal Support\u00a0\u00bb ou \u00ab\u00a0Signal Security ChatBot\u00a0\u00bb. L\u2019attaquant peut \u00e9galement contacter la victime via SMS, en utilisant une autre application de messagerie, ou d\u2019autres comptes Signal pr\u00e9alablement compromis.\n\n<center><img src=\"https://www.cert.ssi.gouv.fr/uploads/signal_phishing1.png\" width=\"483\" length=\"320\"></center>\n\n## Actions imm\u00e9diates \u00e0 effectuer en cas de suspicion de compromission \n<ul>\n    <li> pr\u00e9venir les contacts et ceux pr\u00e9sents dans les groupes de la messagerie instantan\u00e9e, via un autre canal, que le compte a \u00e9t\u00e9 compromis ;</li>\n    <li> contr\u00f4ler l\u2019absence de compte en doublon pr\u00e9sent dans vos conversations de groupe. Le cas \u00e9ch\u00e9ant, supprimer les comptes en doublon dont l\u2019acc\u00e8s n\u2019est plus disponible. Par exemple, pour la messagerie instantan\u00e9e Signal, utiliser le nom d\u2019utilisateur \u2013 qui est unique - pour discriminer ; </li>\n    <li> v\u00e9rifier dans les param\u00e8tres de l\u2019application la l\u00e9gitimit\u00e9 des appareils associ\u00e9s au compte et supprimer les appareils inconnus ; </li>\n    <li> en compl\u00e9ment de ces actions, en cas de tentative de compromission, il est recommand\u00e9 de d\u00e9poser plainte aupr\u00e8s de la section de lutte contre la cybercriminalit\u00e9 du Parquet de Paris par l\u2019envoi d\u2019un courrier \u00e0 l\u2019adresse suivante\u00a0:</li>\n</ul>\n<center>Madame la Procureure de la R\u00e9publique</center>\n<center>Tribunal judiciaire de Paris \u2013 Section J3</center>\n<center>Parvis du Tribunal de Paris</center>\n<center>75 859 Paris Cedex 17</center>\n\n## Pr\u00e9conisations g\u00e9n\u00e9rales d\u2019hygi\u00e8ne num\u00e9rique  \n<ul>\n    <li> d\u00e9finir un code PIN pour l\u2019application ; </li>\n    <li> ne jamais r\u00e9pondre \u00e0 des messages re\u00e7us de la part d\u2019individus ou d\u2019entit\u00e9s pour lesquels l\u2019utilisateur de la messagerie n\u2019est pas certain de la v\u00e9ritable identit\u00e9.  En cas de doute, il est n\u00e9cessaire de v\u00e9rifier la l\u00e9gitimit\u00e9 du message via un autre canal que celui par lequel il a \u00e9t\u00e9 re\u00e7u. Il convient de pr\u00e9ciser que le support technique de ces messageries n\u2019envoie jamais l\u00e9gitimement de messages directs aux utilisateurs ;</li>\n    <li> ne jamais communiquer des identifiants, des codes PIN ou des mots de passe par ces messageries ; </li>\n    <li> ne jamais scanner de QR codes re\u00e7us ; </li>\n    <li> rester vigilant aux \u00e9v\u00e9nements de s\u00e9curit\u00e9 affich\u00e9s dans l\u2019application de messagerie instantan\u00e9e (par exemple\u00a0: alertes de changement du num\u00e9ro de s\u00e9curit\u00e9 d\u2019un contact, ou encore connexion depuis un appareil inconnu) ; </li>\n    <li> ne pas se fier au nom d\u2019utilisateur affich\u00e9 par la messagerie instantan\u00e9e, qui peut \u00eatre arbitrairement choisi ;</li>\n    <li> ne pas cliquer sur des liens et ne pas ouvrir les fichiers pr\u00e9sents dans des messages non sollicit\u00e9s. Un lien malveillant peut conduire \u00e0 la compromission d\u2019un t\u00e9l\u00e9phone mobile ; </li>\n    <li> signaler et bloquer les comptes suspects ; </li>\n    <li> v\u00e9rifier r\u00e9guli\u00e8rement la liste des appareils associ\u00e9s et supprimer tout appareil qui n\u2019appartient pas \u00e0 l\u2019utilisateur dans les param\u00e8tres de la messagerie instantan\u00e9e ; </li>\n    <li> confirmer le num\u00e9ro de s\u00e9curit\u00e9 des contacts lorsque cela est possible, par exemple lors de rencontres physiques ou par un autre canal ; </li>\n    <li> en cas de perte d\u2019acc\u00e8s au compte, effectuer une inscription ou une r\u00e9inscription\u00a0et pr\u00e9venir les contacts du nouveau nom d\u2019utilisateur, en les invitant \u00e0 bloquer l\u2019ancien compte. </li>\n</ul>\n\nLes travaux conjoints des services membres du Centre de Coordination des Crises Cyber (C4)\u00a0ont permis d\u2019identifier une recrudescence de campagnes d\u2019attaques ciblant les comptes de messagerie instantan\u00e9es et ont publi\u00e9 une note d\u2019alerte [1]. ","title":"Note d\u2019alerte \u2013 Ciblage des messageries instantan\u00e9es","vendor_advisories":[]}