Connexion
Abonnez-vous

Aux États-Unis, une campagne ciblant WhatsApp a permis le vol d’informations sensibles

Livre de la jungle - Aie confiance.MP3

Aux États-Unis, une campagne ciblant WhatsApp a permis le vol d’informations sensibles

Microsoft a publié récemment un rapport sur une campagne visant des personnalités politiques aux États-Unis. Objectif, dérober des informations sur les comptes WhatsApp des victimes, ce qui est une première. La technique se base notamment sur l’ingénierie sociale.

Le 20 janvier à 12h28

La campagne a été menée par le groupe Star Blizzard, connu également sous une multitude d’autres noms : SEABORGIUM, Blue Callisto, BlueCharlie, Calisto, COLDRIVER, Dancing Salome, Gossamer Bear, Iron Frontier, TA446 ou UNC4057. Le groupe est d’affiliation russe et opère depuis au moins 2012, selon Microsoft.

La dernière campagne de Star Blizzard s’est déroulée aux États-Unis jusqu’en novembre. Elle a visé pendant plusieurs mois des personnalités politiques, particulièrement des personnes liées au gouvernement américain ou à sa diplomatie. Les pirates s’en sont pris aussi à celles effectuant des recherches en relations internationales, tout particulièrement celles portant sur la Russie et à tout ce qui touche aux sources d’assistance à l’Ukraine.

Cette campagne, détectée par Microsoft mi-novembre, a fait l’objet d’un rapport chez l’éditeur sur les activités de Star Blizzard.

De faux fonctionnaires américains

Dans la ligne de mire des pirates, les comptes WhatsApp de personnalités sélectionnées. Il s’agit d’un harponnage (spearphishing, ou hameçonnage ciblé), plus qu’un simple hameçonnage (phishing). Selon Microsoft, c’est la première fois qu’une campagne de piratage cible spécifiquement un lot de comptes WhatsApp.

La technique commence par envoyer des e-mails personnalisés aux futures victimes. Ces courriels paraissaient avoir été écrits par un fonctionnaire du gouvernement américain, avec une adresse d’expédition crédible. Selon Microsoft, il s’agit d’une tactique courante de Star Blizzard pour mieux tromper ses victimes.

Le courriel avertissait a priori les contacts qu’un groupe WhatsApp avait été créé pour évoquer la situation de l’Ukraine et faire le point sur les « dernières initiatives non gouvernementales » de soutien au pays. Il était également question de coordonner la distribution des fonds alloués par le gouvernement dans cet objectif.

Le message, relativement personnalisé, contenait un code QR permettant de rejoindre le fameux groupe. Cependant, quand le code était scanné, il renvoyait une erreur. La victime, si elle signalait le problème en réponse au courriel d’origine, recevait un nouveau message, cette fois avec un lien raccourci t[.]ly de type Safe Links. Celui-ci renvoyait à ce qui s’apparentait à une page de présentation officielle du groupe, reprenant les codes graphiques de WhatsApp.

Prise de contrôle

À ce stade cependant, la victime peut voir que quelque chose cloche : l’URL n’a rien à voir avec WhatsApp. Dans une capture fournie par Microsoft, on peut voir que le domaine est en effet aerofluidthermo.org. Sur la page, un nouveau code QR. Mais cette fois, il s’agit d’un vrai code, dont la mission n’est pas de permettre l’entrée sur le groupe, mais de connecter un appareil. Si la victime scanne le code, elle lie donc son appareil et son compte à une version web de WhatsApp contrôlée par les pirates.

Source : Microsoft

Du côté des pirates, on obtient ainsi une copie complète des messages du compte. Étant donné le profil type des personnes visées, les informations peuvent être particulièrement sensibles. En outre, les pirates se servent d’extensions spécifiques dans leur navigateur pour réaliser une extraction des données depuis les messages chargés sur la version web. L’opération permet de garder une copie locale dans laquelle on peut effectuer plus simplement des recherches et autres opérations.

Chez la victime, le seul moyen de s'en apercevoir est de consulter la liste des appareils liés au compte. Ce que l'on n'a malheureusement aucune raison de faire en dehors d'une suspicion d'activité malveillante.

La vigilance comme seule barrière

Le rapport de Microsoft Threat Intelligence signale que la campagne semble s’être arrêtée à la fin de novembre. Il n’existe pas vraiment de solution efficace pour contrer la manœuvre. L’entreprise recommande donc d’être vigilant, car l’observation du lien dans le navigateur une fois la page malveillante ouverte renseigne de manière claire sur l’intention : il ne s’agit pas d’un lien WhatsApp.

Dans le cadre des solutions proposées par Microsoft, il est recommandé tout de même un certain nombre d’étapes comme l’installation de Defender for Endpoint sur les appareils mobiles, l’activation de la protection contre le sabotage, la détection en mode blocage ou encore le mode Smart Screen dans Edge. Rien de très original donc.

Plus intéressant, Microsoft donne aussi une liste d’évènements pouvant avoir un lien avec Star Blizzard. Ces informations sont à destination des administrateurs. En outre, un conseil prime sur les autres : dans le cas d’un e-mail provenant a priori d’une personne connue et contenant une demande importante, mieux vaut s’assurer de son identité en passant par un autre canal.

Pour Microsoft, cette campagne de Star Blizzard a été couronnée de succès. Les pirates ont réussi à obtenir des informations, même si leur ampleur et leur sensibilité ne sont pas abordées.

C’est en tout cas la première fois qu’une telle opération vise spécifiquement WhatsApp. Elle est d’autant plus visible – et peut-être victorieuse – que le gouvernement américain communique depuis quelques mois sur l’importance du chiffrement de bout en bout dans les communications. Dans certains messages, WhatsApp faisait justement partie des possibles applications listées. Dans le cas présent, le réseau chiffré de Meta n’est cependant pas en cause, puisqu’il s’agit d’un problème d’ingénierie sociale.

Commentaires (6)

votre avatar
[Mode chipoteur on]
Une campagne (de quoi) ?
A lecture de l'article je pense que l'on parle d'hameçonnage (fishing)
[Mode chipoteur Off]
Merci pour l'article. :yes:
votre avatar
J'ai pas compris... Si on veut rejoindre un groupe ou ajouter un contact, il faut choisir l'option correspondante dans le menu WhatsApp (group, contact, device).

Si on veut ajouter un autre appareil, c'est une autre option et l'écran suivant est très clair qu'on ne crée pas un contact mais qu'on ajoute un appareil.

Donc qu'est ce qui se passe si on scanne un QR étant dans la section Ajouter Contact mais que ce QR est fait pour ajouter un appareil ?

Bug WhatsApp ici ? WhatsApp ne bascule quand même pas automatiquement sur l'autre fonctionnalité et valide le contact mais dans la section Nouvel Appareil ?
votre avatar
Je suis d’accord je n’ai pas compris comment fonctionne l’attaque exactement non plus. Il suffit de pointer innocemment vers n’importe quel seconde WhatsApp pour se faire dérober les données ?
votre avatar
La page renvoie un QR code officiel pour lier un nouveau périphérique au compte whatsapp. Le pirate a ensuite accès à toutes tes conversations.

Madame Michu ne fera aucune différence.

Sur signal les conversations ne sont pas sauvegardées sur le cloud mais sur le periphérique en question et cette attaque ne peut fonctionner que pour les nouvelles conversations.
votre avatar
Sauf que dans WhatsApp, avant de scanner un QR code, il faut d'abord aller dans Paramètres, ensuite choisir entre :

- Nouveau Contact

- Nouveau Groupe

- Nouvel Appareil

et ENSUITE on peut scanner...

Donc si l'arnaque c’était de demander de rejoindre un groupe (bidon), on ne va quand même pas sélectionner l'option Ajouter un nouvel appareil avant de scanner...:roll:

Parce que là, il n'existe aucune protection contre la conne... Bon après, apparemment y'en a bien qui arrive à lâcher 830 000€ pensant avoir parlé à Brad Pitt pendant 1 an et demi.

video.lefigaro.fr Le Figaro

Et si c'est vraiment Madame Michu , pas sûr que ces pirates aient vraiment eu quelque chose à se mettre sous la dent aussi...
:fumer:
votre avatar
D'où sont récupérés les messages historiques ? Sur quel cloud ces données sont-elles stockées ?

Sur Signal, en tous cas, il ny aurait pas le même type de problème vu comme le backup des conversations est limité. ^^'

Aux États-Unis, une campagne ciblant WhatsApp a permis le vol d’informations sensibles

  • De faux fonctionnaires américains

  • Prise de contrôle

  • La vigilance comme seule barrière

Fermer