Google Threat Intelligence vient de révéler comment les services de renseignement russes exploitent massivement la fonction « appareil associé » de Signal pour espionner les communications sensibles en Ukraine.
Le service Google Threat Intelligence (GTIG) nous alerte sur une vaste campagne de cyberattaques russes qui cible l'application Signal. Dans une enquête dont nous avons pu prendre connaissance ce mercredi après-midi, le groupe de renseignement sur les menaces cybernétiques lancé par Google l'an dernier détaille comment plusieurs groupes de hackers, liés aux services de renseignement russes, ont exploité la fonction « linked device » (appareils associés en français) de Signal.
Grâce à cette dernière, ils ont réussi à intercepter des communications sensibles, notamment celles du personnel militaire ukrainien, mais aussi des politiques et journalistes.
Comment la Russie transforme Signal en outil d'espionnage
Les cybercriminels excellent pour certains dans la manipulation de la fonctionnalité « appareils associés » de Signal, normalement destinée à synchroniser l'application entre plusieurs terminaux, comme on peut le faire avec WhatsApp. Le groupe pirate UNC5792, affilié à la Russie, modifie des invitations de groupe Signal légitimes pour rediriger ensuite l'utilisateur vers des sites malveillants, grâce à des QR codes.
Le collectif UNC4221, lui, cible spécifiquement le personnel militaire ukrainien à l'aide de pages de phishing qui imitent l'interface de l'application Kropyva, utilisée pour le guidage d'artillerie.
Une fois le QR code malveillant scanné, le compte Signal de la victime est silencieusement lié à un appareil contrôlé par les hackers. Cette technique, particulièrement sournoise, permet aux attaquants d'intercepter en temps réel toutes les communications sans éveiller les soupçons, sans jamais compromettre en entier l'appareil ciblé.
D'autres acteurs russes, comme APT44 (aussi connu sous le nom de Sandworm) et Turla (lié au service de renseignement russe, le FSB), utilisent des méthodes complémentaires. APT44 exploite notamment les appareils capturés sur le champ de bataille, tandis que Turla déploie des scripts Powershell (qui automatisent des tâches sur Windows) pour extraire les bases de données de Signal Desktop, la version de bureau de l'application.
![On voit ici un QR code de liaison à un appareil malveillant hébergé sur le domaine contrôlé par UNC4221 « signal-confirm[.]site » © GTIG](http://pic.clubic.com/c5f7cc5e2279760/1152x662/smart/qr-code-malveillant-signal.webp)
Les techniques complémentaires de vol de données
Au-delà de l'exploitation de la fonction « appareils associés », les acteurs russes et biélorusses utilisent d'autres méthodes sophistiquées. Dans le détail, APT44 déploie WAVESIGN, un script Windows Batch qui interroge périodiquement la base de données Signal pour exfiltrer les messages les plus récents via un outil nommé Rclone. Le groupe biélorusse UNC1151, quant à lui, utilise l'utilitaire Robocopy pour extraire le contenu des répertoires de fichiers Signal Desktop.
Turla, le fameux acteur russe lié au FSB, opère un script Powershell léger dans des contextes post-compromission pour préparer l'exfiltration des messages Signal Desktop. Le malware Android « Infamous Chisel », attribué à Sandworm, est spécialement conçu pour rechercher récursivement les bases de données de plusieurs applications de messagerie, dont… Signal.
Ces techniques de vol de bases de données complètent la stratégie d'interception en temps réel, qui permet aux cybercriminels de récupérer l'historique complet des conversations, même sans accès continu au compte de la victime, vous l'aurez compris.
Une menace qui dépasse le cadre ukrainien
En réponse à ces découvertes, Signal a travaillé étroitement avec Google pour renforcer la sécurité de son application. Des mises à jour critiques ont été déployées sur Android et iOS pour contrer ces attaques sophistiquées. Les utilisateurs doivent d'ailleurs impérativement mettre à jour leur application et vérifier régulièrement la liste des appareils liés à leur compte.
Dan Black, analyste principal chez GTIG, nous avertit que ces techniques pourraient rapidement se propager au-delà du conflit ukrainien. Pendant ce temps, les services russes ciblent déjà d'autres applications de messagerie sécurisée comme WhatsApp et Telegram, comme en témoigne une récente campagne du groupe COLDRIVER (Star Blizzard) menée contre WhatsApp.
Google Threat Intelligence recommande notamment d'activer le verrouillage d'écran avec un mot de passe complexe, d'installer rapidement les mises à jour. Pour les utilisateurs d'iPhone, il est conseillé d'activer le « Mode Isolement » en cas de risque de surveillance ciblée.
