Le CERT-FR publie l'alerte CERTFR-2026-ALE-003 sur le détournement de Signal et WhatsApp sans malware. Trois techniques documentées ciblent personnalités politiques et cadres d'État.
En bref
- Le CERT-FR publie l'alerte CERTFR-2026-ALE-003 sur le détournement de comptes Signal, WhatsApp et Telegram sans aucun logiciel malveillant
- Trois techniques documentées : usurpation du support, QR codes malveillants, duplication de compte — ciblant personnalités politiques, cadres d'État et dirigeants
- Action immédiate : activer le code PIN sur Signal/WhatsApp et vérifier la liste des appareils liés à vos comptes de messagerie
Le 20 mars 2026, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) a publié via son CERT-FR une alerte de niveau élevé — référencée CERTFR-2026-ALE-003 — après avoir détecté une recrudescence significative de campagnes de compromission de comptes de messageries instantanées. L'élément particulièrement préoccupant de cette alerte est que ces attaques ne nécessitent aucun logiciel malveillant, aucune exploitation de vulnérabilité logicielle, aucun accès physique à l'appareil. Les attaquants exploitent uniquement les fonctionnalités légitimes des applications elles-mêmes — Signal, WhatsApp, Telegram — combinées à des techniques d'ingénierie sociale sophistiquées pour prendre le contrôle complet de comptes de personnes à profil sensible. Élaborée dans le cadre du Centre de coordination des crises cyber (C4), cette alerte vise en priorité les personnalités politiques et hautes autorités de l'État, les cadres de l'administration publique, les journalistes, les dirigeants d'entreprises sensibles et plus largement tout utilisateur dont la compromission du compte de messagerie pourrait avoir des conséquences sur la sécurité nationale ou économique de la France. La nature des cibles visées et l'intensité du signal suggèrent fortement une campagne d'espionnage structurée, potentiellement commanditée par un acteur étatique.
- Contexte et chronologie des événements
- Impact sur l'écosystème cybersécurité
- Leçons apprises et recommandations
- Perspectives et évolutions attendues
Recommandations immédiates du CERT-FR
- Définir un code PIN sur Signal et WhatsApp et activer le verrou d'inscription (empêche le transfert de compte sans le PIN)
- Vérifier immédiatement et régulièrement la liste des « appareils liés » dans Signal, WhatsApp et Telegram — révoquer tout appareil non reconnu
- Ne jamais partager un code de vérification SMS ou un code PIN par message, e-mail ou téléphone, quelle que soit la demande — aucun support légitime ne le demandera
- Ne pas scanner de QR codes non sollicités ou provenant de sources non vérifiées, même en contexte professionnel
- Vérifier toute demande inhabituelle (virement, décision urgente) via un canal de communication alternatif (appel vocal direct sur un numéro connu)
- Signaler tout comportement suspect au CERT-FR via cert-fr@ssi.gouv.fr ou le 3218
- Pour les organisations : interdire les messageries grand public pour les échanges sensibles et imposer des solutions souveraines auditées
Point clé à retenir
Les attaques documentées par le CERT-FR dans l'alerte CERTFR-2026-ALE-003 rappellent qu'aucune application, même réputée sécurisée comme Signal, n'est à l'abri d'une compromission par ingénierie sociale. La vérification régulière des appareils liés et l'activation du code PIN sont des mesures gratuites, simples et immédiatement efficaces.
Comment vérifier si mon compte Signal a déjà été compromis par cette méthode ?
Ouvrez Signal, allez dans Paramètres → Appareils liés. Si vous voyez des appareils que vous ne reconnaissez pas, votre compte est potentiellement compromis — supprimez-les immédiatement. Vérifiez également si votre code PIN est actif dans Paramètres → Compte → Verrou d'inscription. Si votre compte a été transféré sur un autre appareil à votre insu, vous aurez perdu l'accès à vos messages — dans ce cas, réinstallez Signal et réactivez votre numéro pour reprendre le contrôle, puis signalez l'incident au CERT-FR.
il est recommandé de-elles interdire Signal pour les communications professionnelles ?
Pour les échanges portant sur des informations sensibles ou classifiées, oui. Le CERT-FR et l'ANSSI recommandent pour l'administration française l'utilisation de Tchap (messagerie souveraine de l'État) ou d'Olvid (certifié CSPN). Signal reste une option acceptable pour les communications non sensibles, à condition d'appliquer strictement les mesures de sécurité décrites dans cette alerte. La règle générale est d'adapter le niveau de sécurité de l'outil au niveau de sensibilité de l'information échangée.
Comment se protéger contre le détournement de messageries sans malware ?
La protection contre ces attaques fileless repose sur des mesures organisationnelles et techniques. Côté technique : activer la vérification en deux étapes sur toutes les applications de messagerie professionnelle, configurer les appareils de confiance, et surveiller les connexions depuis des localisations inhabituelles. Côté organisationnel : former les équipes à ne jamais partager d'informations sensibles via des messageries grand public non approuvées par la DSI.
Quelles messageries sont autorisées pour les échanges professionnels sensibles ?
Pour les échanges d'informations sensibles, le CERT-FR recommande des solutions homologuées ou certifiées par l'ANSSI, notamment les solutions de la gamme Tchap pour les administrations françaises. Les messageries grand public (WhatsApp, Signal dans un contexte non maîtrisé) ne doivent pas être utilisées pour des informations classifiées ou sensibles. Chaque organisation doit définir une politique claire selon la sensibilité des informations échangées.
Comment détecter qu'un compte de messagerie a été compromis sans présence de malware ?
Les indicateurs sont subtils : connexions depuis des adresses IP inhabituelles ou des plages horaires anormales, création de règles de transfert automatique vers des adresses externes, modification des paramètres de récupération de compte. La mise en place de logs d'audit granulaires et d'alertes comportementales sur les plateformes de messagerie (Microsoft 365, Google Workspace) permet de détecter ces anomalies en temps réel. Réviser régulièrement les règles de messagerie et les sessions actives est indispensable.
Consultez le bulletin officiel CERTFR-2026-ALE-003 et les recommandations ANSSI sur la messagerie professionnelle.
Article suivant recommandé
TELUS Digital : ShinyHunters Vole 1 Pétaoctet de Données →ShinyHunters revendique le vol d'1 pétaoctet de données chez TELUS Digital via une attaque supply-chain sur Salesloft Dr
Conclusion
Face à l'évolution constante des menaces, une posture de sécurité proactive est indispensable. Les techniques et recommandations présentées dans cet article constituent des fondations solides pour renforcer la résilience de votre infrastructure.
Besoin d'un accompagnement expert en cybersécurité ? Contactez Ayi NEDJIMI Consultants pour un audit personnalisé de votre infrastructure.
Surface d'attaque : Ensemble des points d'entrée exploitables par un attaquant pour compromettre un système, incluant les services exposés, les interfaces utilisateur et les API.
À propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
CVE-2026-0625 : zero-day critique dans les routeurs D-Link EOL
CVE-2026-0625 : injection de commandes critique (CVSS 9.3) dans les routeurs D-Link DSL en fin de vie. Aucun correctif prévu, remplacement immédiat nécessaire.
GlassWorm : 72 extensions Open VSX piégées ciblent les développeurs
La campagne GlassWorm compromet 72 extensions Open VSX pour voler des credentials et tokens cloud. Plus de 9 millions d'installations et 151 dépôts GitHub affectés.
CVE-2026-5281 : zero-day Chrome WebGPU exploité activement
Google corrige CVE-2026-5281, un use-after-free dans Dawn (WebGPU) exploité activement. Quatrième zero-day Chrome de 2026, mise à jour critique requise immédiatement.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire