Le chiffrement ne fait pas tout
Image may be NSFW.Clik here to view.
Google a détecté une campagne de phishing menée par des pirates proches de la Russie contre des troupes militaires ukrainiennes. Celle-ci utilisait des failles du système de code QR de Signal, qui permet d’envoyer un lien pour rejoindre un groupe ou lier un appareil à son compte. Les équipes de la messagerie ont, depuis, mis à jour leurs applications.
L’équipe de recherche de Google qui travaille sur les cyberattaques a publié un rapport ce mercredi 19 février. Elle y explique avoir repéré l’utilisation par des groupes de pirates proches de la Russie d’une faille dans la fonctionnalité de partage de liens via code QR de Signal.
Les chercheurs de Google précisent que Signal a collaboré étroitement avec eux dans cette enquête et l’en remercient. L’équipe ajoute que « les dernières versions de Signal sur Android et iOS contiennent des fonctionnalités renforcées conçues pour aider à protéger contre des campagnes de phishing similaires à l’avenir ». Logiquement, ils encouragent vivement à mettre à jour l’application vers la dernière version pour activer ces fonctionnalités.
Signal principalement ciblée, mais WhatsApp et Telegram aussi
Ils soulignent aussi que la popularité de Signal chez les cibles d’opération de surveillance et d’espionnage que sont les militaires, politiques, journalistes et activistes font de cette application de messagerie sécurisée un objectif de choix pour les pirates.
Mais Google précise avoir repéré le même genre de tentatives d’attaques contre WhatsApp et Telegram. Les chercheurs de Google renvoient d’ailleurs vers le billet de blog de leurs homologues chez Microsoft sur la campagne ciblant WhatsApp, que nous avions détaillée le mois dernier.
La cible : la fonction de liaison vers un nouvel appareil
« La technique la plus novatrice et la plus largement utilisée par les pirates liés à la Russie pour compromettre les comptes Signal est l’utilisation abusive de la fonction légitime « appareils liés » de l’application, qui permet d’utiliser Signal sur plusieurs appareils simultanément », expliquent-ils. Cette fonction, qui permet d’ajouter l’application à un nouvel appareil, propose de scanner un code QR pour vérifier l’identité. Les pirates ont ainsi créé des codes QR qui renvoient vers une instance de Signal qu’ils contrôlent.
« En cas de succès, les futurs messages seront transmis de manière synchrone à la fois à la victime et à l’acteur malveillant en temps réel, ce qui constitue un moyen permanent d’écouter les conversations sécurisées de la victime sans qu’il soit nécessaire de compromettre l’ensemble de l’appareil », commentent-ils.
Kropyva, une application militaire ukrainienne en cible secondaire
Ils expliquent que le groupe de pirates UNC5792 a réussi à modifier des pages légitimes d’« invitation de groupe » pour les diffuser dans des campagnes d’hameçonnage. Il a remplacé la redirection prévue vers un groupe Signal par une autre vers une URL malveillante, conçue pour lier un appareil contrôlé par le pirate au compte Signal de la victime.
Selon eux, un autre groupe de pirates russes, UNC4221, utiliserait un kit de phishing conçu spécialement pour Signal, afin de cibler les troupes ukrainiennes. En effet, ils utiliseraient la même méthode qu’UNC5792, mais pour cibler l’application Kropyva, utilisée par l’armée ukrainienne pour guider ses troupes.