CISA : ce ne sont pas Signal et WhatsApp qui sont ‘cassés’ mais les téléphones ciblés

La Cybersecurity and Infrastructure Security Agency (CISA) alerte sur une campagne active visant les applications de messagerie chiffrée comme Signal et WhatsApp. Plutot que de tenter de briser le chiffrement, les attaquants compromettent les appareils et exploitent des fonctions de commodite pour lire les messages avant ou apres chiffrement.

Ce que dit l’alerte de la CISA

La CISA souligne que des acteurs, souvent evalues comme soutenus par des Etats ou travaillant pour la clientele de services offensifs, utilisent des outils commerciaux de type spyware pour s’introduire sur les telephones. Les cibles identifiees comprennent des hauts responsables, des personnalites militaires et politiques, et des membres de la societe civile aux Etats-Unis, en Europe et au Moyen-Orient.

Methode d’intrusion et objectifs

Les attaques n’ont pas pour but de casser les protocoles de chiffrement. Elles visent l’ecosysteme autour de l’application et du systeme d’exploitation mobile pour lire les donnees avant le chiffrement ou apres dechiffrement. Les vecteurs signales par la CISA incluent :

• campagnes de phishing et liens malveillants,
• applications trojanisees et clones d’apps distribues via sites imitant les services officiels ou stores non officiels,
• codes QR falsifies et abus des mecanismes de liaison entre appareils pour autoriser un nouvel endpoint,
• exploits « zero-click » qui executent du code malveillant sans interaction de l’utilisateur en profitant de failles de parsing dans les apps ou le systeme.

Fonctionnement une fois le telephone compromis

Le spyware agit souvent comme un chargeur : il installe ensuite des charges utiles supplementaires, augmente les privilegies et maintient un acces durable. Parmi les capacites rapportees :

• lecture des historiques de conversation et copie silencieuse des nouveaux messages,
• accès aux enregistrements audio, aux fichiers, aux photos et aux documents stockes,
• recuperation de donnees de localisation, journaux d’appels et contacts,
• transformation du telephone en dispositif de surveillance general sans prise de controle visible du compte.

Exploitation du systeme de liaison par QR

La CISA decrit une technique qui abuse des processus de connexion multi-appareils via QR. En envoyant des codes QR falsifies qui imitent une etape de connexion, les attaquants peuvent forcer l’appareil a se lier a un systeme qu’ils controlent. Cela leur permet d’ajouter un endpoint autorise et de copier les messages entrants sans rompre le chiffrement ni alerter l’utilisateur.

Portee et furtivite

Les attaques peuvent ne nécessiter aucune interaction de la victime et rester indetectees pendant des annees, ce qui les rend particulirement adaptees a la surveillance silencieuse de cibles de haut profil.

Conclusion

La mise en garde de la CISA rappelle que la protection apportee par le chiffrement de bout en bout depend aussi de la securite du terminal et des procedures d’authentification. Les risques viennent moins d’une faiblesse des protocoles de messagerie que des vecteurs qui contournent ces protections en visant les appareils et les habitudes des utilisateurs.