Ce sont des techniques avancées de « quishing », c’est-à-dire d’hameçonnage grâce à des QR codes scannés par les smartphones, qu’ont découvert les équipes de cybersécurité de Google. Elles ont ciblé l’intégrité des communications de soldats en Ukraine utilisant Signal, une messagerie sécurisée populaire et régulièrement promue par les défenseurs de la vie privée en ligne.
Dans un rapport publié mercredi 19 février, le Google Threat Intelligence Group (qui rassemble divers services de protection et de recherches en cybersécurité opérés par le géant américain, dont ceux de Mandiant) détaille comment des groupes de cyberespions russes ont réussi à mettre en place et exploiter ces techniques de piratage.
Imitations de QR codes et d’applications
Les opérations de « quishing » dévoilées s’appuient sur le détournement des méthodes de connexion qui permettent à un utilisateur de Signal de lier son application smartphone à celle d’un autre appareil (ordinateur, tablette…). Les groupes russes, parmi lesquels figure APT44, le groupe de hackeurs d’élite plus connu sous le nom de Sandworm, ont réussi à diffuser de faux QR codes de vérification devant normalement permettre cette connexion. Ces derniers redirigeaient les victimes vers une fausse instance Signal, en réalité contrôlée par les hackeurs russes.
« En cas de succès, les futurs messages reçus par la victime sont aussi délivrés au même moment à l’attaquant, lui permettant un accès durable de surveillance des conversations sécurisées », décrit le rapport publié par Google. De quoi recueillir des informations potentiellement cruciales, ou simplement du contexte, sur les opérations militaires en Ukraine.
Pour parvenir à leurs fins et diffuser ces QR codes trompeurs, l’un des groupes de pirates russes identifié par Google (UNC5792) a notamment diffusé des fausses invitations de groupe sur Signal. Un autre, UNC4221, a lancé une imitation de Kropyva, une application de cartographie utilisée par l’armée ukrainienne : la fausse version de l’application incitait les soldats à lier leur compte Signal à Kropyva, ce qui permettait aux pirates russes d’infiltrer la messagerie sécurisée.
Mise à jour conseillée
Dans un commentaire fourni au magazine Forbes, Viktor Zhora, ancien haut responsable en cybersécurité pour l’Etat ukrainien, explique que Signal est largement utilisé en Ukraine depuis l’invasion russe survenue en 2022, et la guerre qui s’est ensuivie. Ce qui explique, selon lui, pourquoi les attaques et tentatives d’espionnage reposant sur des détournements de QR codes sont depuis monnaie courante en Ukraine. Dans son texte, Google précise toutefois que d’autres applications de messagerie, en particulier WhatsApp et Telegram, ont vraisemblablement été la cible de tentatives similaires par des espions russes.
Avant de publier son rapport, Google a averti directement les équipes de Signal de ces techniques d’espionnage. Dans une déclaration faite au magazine spécialisé Wired, ces dernières disent être « très reconnaissantes » envers l’entreprise américaine d’avoir identifié et permis de contrer ces menaces.
Le Monde
Offre spéciale étudiants et enseignants
Accédez à tous nos contenus en illimité à partir de 6,99 €/mois au lieu de 12,99€.
S’abonner
La dernière mise à jour de Signal sur iOS et Android, sortie le 18 février, inclut de nouvelles protections pour éviter le type d’attaques révélées par Google, dont des étapes supplémentaires de vérification lorsque l’on connecte un compte Signal sur un nouvel appareil. Toutes les personnes utilisant Signal pour sécuriser leurs échanges personnels ou professionnels sont fortement invitées à les installer.
