IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Des acteurs de la menace alignés à la Russie ciblent activement Signal Messenger, afin de compromettre les personnes présentant un intérêt pour les services de renseignement russes

Le , par Jade Emy
1 commentaire

97PARTAGES

4  0 
De nombreux groupes de menace proches de la Russie ciblent activement l'application Signal Messenger de personnes susceptibles d'échanger des communications militaires et gouvernementales sensibles en rapport avec la guerre qui oppose le pays à l'Ukraine. Pour l'instant, cette activité semble limitée aux personnes présentant un intérêt pour les services de renseignement russes, selon les chercheurs du Threat Intelligence Group (GTIG) de Google, qui l'ont repérée récemment. Mais les tactiques utilisées par les acteurs de la menace dans le cadre de cette campagne pourraient bien servir de modèle à d'autres groupes pour mener des attaques plus vastes contre Signal, WhatsApp, Telegram et d'autres applications de messagerie populaires.

Un récent rapport révèle que de multiples acteurs de la menace alignés à la Russie ont été observés en train de cibler des personnes d'intérêt via l'application de messagerie confidentielle Signal afin d'obtenir un accès non autorisé à leurs comptes. La technique la plus novatrice et la plus largement utilisée pour compromettre les comptes Signal est l'utilisation abusive de la fonction légitime "appareils liés" de l'application, qui permet d'utiliser Signal sur plusieurs appareils en même temps, selon le rapport du Google Threat Intelligence Group (GTIG).

Pour rappel, Signal est une application de messagerie assez populaire. Rien qu'en 2021, l'application de messagerie Signal a connu une augmentation de 1 192 % de ses téléchargements pour atteindre 64,4 millions au cours des quatre premiers mois de 2021. La plateforme se vante notamment d'offrir un chiffrement de bout en bout sur les chats avec d'autres fonctionnalités conviviales.

Dans les attaques repérées par les équipes de renseignement sur les menaces de Google, les acteurs de la menace, dont l'un est identifié comme UNC5792, ont eu recours à des codes QR malveillants qui, lorsqu'ils sont scannés, lient le compte d'une victime à une instance de Signal contrôlée par l'acteur. Ainsi, les futurs messages sont transmis de manière synchrone à la victime et à l'acteur de la menace en temps réel, ce qui permet aux acteurs de la menace d'écouter les conversations de la victime de manière persistante.

Ces codes QR sont connus pour se faire passer pour des invitations de groupe, des alertes de sécurité ou des instructions légitimes de couplage d'appareils provenant du site web Signal. Par ailleurs, les codes QR malveillants de couplage d'appareils ont été intégrés dans des pages d'hameçonnage censées être des applications spécialisées utilisées par l'armée ukrainienne.

Même si la sécurité de Signal semble attirée des millions d'utilisateurs, la société a admis qu'elle a besoin de beaucoup d'argent pour faire fonctionner l'application. En novembre 2023, Signal a affirmé qu'elle avait besoin d'environ 50 millions de dollars par an jusqu'en 2025 pour garantir la sécurité de sa messagerie ainsi que la vie privé des utilisateurs. Il serait donc intéressant de savoir si cette faille de sécurité a un rapport avec la situation financière de Signal.


Une page d'hameçonnage conçue pour ressembler à une alerte de sécurité de Signal

Voici un extrait du rapport de Google :

Des acteurs de la menace alignés à la Russie ciblent activement Signal Messenger

Le Google Threat Intelligence Group (GTIG) a constaté que plusieurs acteurs de la menace alignés à l'État russe s'efforçaient de compromettre les comptes Signal Messenger utilisés par des personnes présentant un intérêt pour les services de renseignement russes. Bien que cet intérêt opérationnel émergent ait probablement été suscité par des demandes d'accès à des communications gouvernementales et militaires sensibles en temps de guerre dans le contexte de la ré-invasion de l'Ukraine par la Russie, l'équipe de Google prévoit que les tactiques et méthodes utilisées pour cibler Signal deviendront de plus en plus courantes à court terme et proliféreront vers d'autres acteurs de la menace et d'autres régions en dehors du théâtre de guerre ukrainien.

La popularité de Signal parmi les cibles habituelles des activités de surveillance et d'espionnage - telles que le personnel militaire, les politiciens, les journalistes, les activistes et d'autres communautés à risque - a fait de l'application de messagerie sécurisée une cible de grande valeur pour les adversaires qui cherchent à intercepter des informations sensibles susceptibles de répondre à toute une série d'exigences différentes en matière de renseignement.

D'une manière plus générale, cette menace s'étend également à d'autres applications de messagerie populaires telles que WhatsApp et Telegram, qui sont également activement ciblées par des groupes de menace alignés sur la Russie et utilisant des techniques similaires. En prévision d'une adoption plus large de techniques similaires par d'autres acteurs de la menace, le GTIG a publié un avertissement public concernant les tactiques et les méthodes utilisées à ce jour afin de sensibiliser le public et d'aider les communautés à mieux se prémunir contre des menaces similaires.

Campagnes de phishing utilisant la fonction « Linked Devices » de Signal

La technique la plus novatrice et la plus largement utilisée pour compromettre les comptes Signal est l'utilisation abusive de la fonction légitime "appareils liés" (Linked Devices) de l'application, qui permet d'utiliser Signal sur plusieurs appareils en même temps. Comme la liaison d'un appareil supplémentaire nécessite généralement la numérisation d'un code de réponse rapide (QR), les acteurs de la menace ont eu recours à la création de codes QR malveillants qui, lorsqu'ils sont numérisés, lient le compte d'une victime à une instance de Signal contrôlée par l'acteur. En cas de succès, les futurs messages seront transmis de manière synchrone à la victime et à l'acteur de la menace en temps réel, ce qui constitue un moyen permanent d'écouter les conversations sécurisées de la victime sans qu'il soit nécessaire de compromettre l'ensemble de l'appareil.

  • Dans les opérations d'hameçonnage à distance observées à ce jour, les codes QR malveillants ont souvent été maquillés en ressources Signal légitimes, telles que des invitations à des groupes, des alertes de sécurité ou des instructions légitimes d'appairage d'appareils à partir du site Web de Signal.
  • Dans le cadre d'opérations d'hameçonnage à distance plus ciblées, des codes QR malveillants ont été intégrés dans des pages d'hameçonnage conçues pour ressembler à des applications spécialisées utilisées par l'armée ukrainienne.
  • Au-delà des opérations d'hameçonnage à distance et de diffusion de logiciels malveillants, le GTIG a également constaté que des codes QR malveillants étaient utilisés dans le cadre d'opérations d'accès rapproché. APT44 (alias Sandworm ou Seashell Blizzard, un acteur de la menace attribué par plusieurs...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.

Une erreur dans cette actualité ? Signalez-nous-la !

1 commentaire
Commenter Signaler un problème
noremorse
Avatar de noremorse
Membre actif https://www.developpez.com
Le 21/02/2025 à 7:26
D’après les documents révélés par Wikileaks :

L'USAID a injecté près d'un demi-milliard de dollars (472,6 millions de dollars) par l'intermédiaire d'une ONG secrète financée par le gouvernement américain, « Internews Network » (IN), qui a « travaillé avec » 4 291 médias, produisant en un an 4 799 heures d'émissions atteignant jusqu'à 778 millions de personnes et « formant » plus de 9 000 journalistes (chiffres de 2023). IN a également soutenu des initiatives de censure des médias sociaux.

L’opération revendique des « bureaux » dans plus de 30 pays, dont des bureaux principaux aux États-Unis, à Londres, à Paris et des sièges régionaux à Kiev, Bangkok et Nairobi. Elle est dirigée par Jeanne Bourgault, qui se paie 451 000 dollars par an. Bourgault a travaillé à l’ambassade des États-Unis à Moscou au début des années 1990, où elle était en charge d’un budget de 250 millions de dollars, et dans d’autres révoltes ou conflits à des moments critiques, avant de quitter officiellement l’USAID pendant six ans pour rejoindre l’Inde.

La biographie de Bourgault et celles de ses autres personnes clés et membres du conseil d'administration ont récemment été supprimées de son site Web, mais restent accessibles à l'adresse http://archive.org . Les archives montrent que le conseil d'administration est coprésidé par le sécurocrate démocrate Richard J. Kessler et Simone Otus Coxe, épouse du milliardaire de NVIDIA Trench Coxe, tous deux d'importants donateurs démocrates. En 2023, soutenu par Hillary Clinton, Bourgault a lancé un fonds IN de 10 millions de dollars à la Clinton Global Initiative (CGI). La page IN montrant une photo de Bourgault à la CGI a également été supprimée.

IN possède au moins six filiales sous des noms indépendants, dont une basée aux îles Caïmans. Depuis 2008, année où les enregistrements électroniques ont commencé, plus de 95 % du budget d'IN a été financé par le gouvernement américain.

1  0