Aux États-Unis, une campagne ciblant WhatsApp a permis le vol d’informations sensibles
Livre de la jungle - Aie confiance.MP3
Microsoft a publié récemment un rapport sur une campagne visant des personnalités politiques aux États-Unis. Objectif, dérober des informations sur les comptes WhatsApp des victimes, ce qui est une première. La technique se base notamment sur l’ingénierie sociale.
La campagne a été menée par le groupe Star Blizzard, connu également sous une multitude d’autres noms : SEABORGIUM, Blue Callisto, BlueCharlie, Calisto, COLDRIVER, Dancing Salome, Gossamer Bear, Iron Frontier, TA446 ou UNC4057. Le groupe est d’affiliation russe et opère depuis au moins 2012, selon Microsoft.
La dernière campagne de Star Blizzard s’est déroulée aux États-Unis jusqu’en novembre. Elle a visé pendant plusieurs mois des personnalités politiques, particulièrement des personnes liées au gouvernement américain ou à sa diplomatie. Les pirates s’en sont pris aussi à celles effectuant des recherches en relations internationales, tout particulièrement celles portant sur la Russie et à tout ce qui touche aux sources d’assistance à l’Ukraine.
Cette campagne, détectée par Microsoft mi-novembre, a fait l’objet d’un rapport chez l’éditeur sur les activités de Star Blizzard.
De faux fonctionnaires américains
Dans la ligne de mire des pirates, les comptes WhatsApp de personnalités sélectionnées. Il s’agit d’un harponnage (spearphishing, ou hameçonnage ciblé), plus qu’un simple hameçonnage (phishing). Selon Microsoft, c’est la première fois qu’une campagne de piratage cible spécifiquement un lot de comptes WhatsApp.
La technique commence par envoyer des e-mails personnalisés aux futures victimes. Ces courriels paraissaient avoir été écrits par un fonctionnaire du gouvernement américain, avec une adresse d’expédition crédible. Selon Microsoft, il s’agit d’une tactique courante de Star Blizzard pour mieux tromper ses victimes.
Le courriel avertissait a priori les contacts qu’un groupe WhatsApp avait été créé pour évoquer la situation de l’Ukraine et faire le point sur les « dernières initiatives non gouvernementales » de soutien au pays. Il était également question de coordonner la distribution des fonds alloués par le gouvernement dans cet objectif.
Le message, relativement personnalisé, contenait un code QR permettant de rejoindre le fameux groupe. Cependant, quand le code était scanné, il renvoyait une erreur. La victime, si elle signalait le problème en réponse au courriel d’origine, recevait un nouveau message, cette fois avec un lien raccourci t[.]ly de type Safe Links. Celui-ci renvoyait à ce qui s’apparentait à une page de présentation officielle du groupe, reprenant les codes graphiques de WhatsApp.
Prise de contrôle
À ce stade cependant, la victime peut voir que quelque chose cloche : l’URL n’a rien à voir avec WhatsApp. Dans une capture fournie par Microsoft, on peut voir que le domaine est en effet aerofluidthermo.org. Sur la page, un nouveau code QR. Mais cette fois, il s’agit d’un vrai code, dont la mission n’est pas de permettre l’entrée sur le groupe, mais de connecter un appareil. Si la victime scanne le code, elle lie donc son appareil et son compte à une version web de WhatsApp contrôlée par les pirates.
Du côté des pirates, on obtient ainsi une copie complète des messages du compte. Étant donné le profil type des personnes visées, les informations peuvent être particulièrement sensibles. En outre, les pirates se servent d’extensions spécifiques dans leur navigateur pour réaliser une extraction des données depuis les messages chargés sur la version web. L’opération permet de garder une copie locale dans laquelle on peut effectuer plus simplement des recherches et autres opérations.
Chez la victime, le seul moyen de s'en apercevoir est de consulter la liste des appareils liés au compte. Ce que l'on n'a malheureusement aucune raison de faire en dehors d'une suspicion d'activité malveillante.
La vigilance comme seule barrière
Le rapport de Microsoft Threat Intelligence signale que la campagne semble s’être arrêtée à la fin de novembre. Il n’existe pas vraiment de solution efficace pour contrer la manœuvre. L’entreprise recommande donc d’être vigilant, car l’observation du lien dans le navigateur une fois la page malveillante ouverte renseigne de manière claire sur l’intention : il ne s’agit pas d’un lien WhatsApp.
Dans le cadre des solutions proposées par Microsoft, il est recommandé tout de même un certain nombre d’étapes comme l’installation de Defender for Endpoint sur les appareils mobiles, l’activation de la protection contre le sabotage, la détection en mode blocage ou encore le mode Smart Screen dans Edge. Rien de très original donc.
Plus intéressant, Microsoft donne aussi une liste d’évènements pouvant avoir un lien avec Star Blizzard. Ces informations sont à destination des administrateurs. En outre, un conseil prime sur les autres : dans le cas d’un e-mail provenant a priori d’une personne connue et contenant une demande importante, mieux vaut s’assurer de son identité en passant par un autre canal.
Pour Microsoft, cette campagne de Star Blizzard a été couronnée de succès. Les pirates ont réussi à obtenir des informations, même si leur ampleur et leur sensibilité ne sont pas abordées.
C’est en tout cas la première fois qu’une telle opération vise spécifiquement WhatsApp. Elle est d’autant plus visible – et peut-être victorieuse – que le gouvernement américain communique depuis quelques mois sur l’importance du chiffrement de bout en bout dans les communications. Dans certains messages, WhatsApp faisait justement partie des possibles applications listées. Dans le cas présent, le réseau chiffré de Meta n’est cependant pas en cause, puisqu’il s’agit d’un problème d’ingénierie sociale.
Commentaires (6)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousLe 20/01/2025 à 13h14
Une campagne (de quoi) ?
A lecture de l'article je pense que l'on parle d'hameçonnage (fishing)
[Mode chipoteur Off]
Merci pour l'article.
Modifié le 20/01/2025 à 13h31
Si on veut ajouter un autre appareil, c'est une autre option et l'écran suivant est très clair qu'on ne crée pas un contact mais qu'on ajoute un appareil.
Donc qu'est ce qui se passe si on scanne un QR étant dans la section Ajouter Contact mais que ce QR est fait pour ajouter un appareil ?
Bug WhatsApp ici ? WhatsApp ne bascule quand même pas automatiquement sur l'autre fonctionnalité et valide le contact mais dans la section Nouvel Appareil ?
Le 21/01/2025 à 09h57
Modifié le 21/01/2025 à 17h19
Madame Michu ne fera aucune différence.
Sur signal les conversations ne sont pas sauvegardées sur le cloud mais sur le periphérique en question et cette attaque ne peut fonctionner que pour les nouvelles conversations.
Modifié le 24/01/2025 à 16h37
- Nouveau Contact
- Nouveau Groupe
- Nouvel Appareil
et ENSUITE on peut scanner...
Donc si l'arnaque c’était de demander de rejoindre un groupe (bidon), on ne va quand même pas sélectionner l'option Ajouter un nouvel appareil avant de scanner...
Parce que là, il n'existe aucune protection contre la conne... Bon après, apparemment y'en a bien qui arrive à lâcher 830 000€ pensant avoir parlé à Brad Pitt pendant 1 an et demi.
"Veux-tu m'épouser ?"
Et si c'est vraiment Madame Michu , pas sûr que ces pirates aient vraiment eu quelque chose à se mettre sous la dent aussi...
Le 20/01/2025 à 17h56
Sur Signal, en tous cas, il ny aurait pas le même type de problème vu comme le backup des conversations est limité. ^^'
Signaler un commentaire
Voulez-vous vraiment signaler ce commentaire ?