Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS
GitHub Discord

À propos

Abonnez-vous

Des pirates russes ont réussi à espionner des comptes Signal de militaires ukrainiens

Le chiffrement ne fait pas tout

Des pirates russes ont réussi à espionner des comptes Signal de militaires ukrainiens

Google a détecté une campagne de phishing menée par des pirates proches de la Russie contre des troupes militaires ukrainiennes. Celle-ci utilisait des failles du système de code QR de Signal, qui permet d'envoyer un lien pour rejoindre un groupe ou lier un appareil à son compte. Les équipes de la messagerie ont, depuis, mis à jour leurs applications.

Le 19 février à 17h20

L'équipe de recherche de Google qui travaille sur les cyberattaques a publié un rapport ce mercredi 19 février. Elle y explique avoir repéré l'utilisation par des groupes de pirates proches de la Russie d'une faille dans la fonctionnalité de partage de liens via code QR de Signal.

Les chercheurs de Google précisent que Signal a collaboré étroitement avec eux dans cette enquête et l'en remercient. L'équipe ajoute que « les dernières versions de Signal sur Android et iOS contiennent des fonctionnalités renforcées conçues pour aider à protéger contre des campagnes de phishing similaires à l'avenir ». Logiquement, ils encouragent vivement à mettre à jour l'application vers la dernière version pour activer ces fonctionnalités.

Signal principalement ciblée, mais WhatsApp et Telegram aussi

Ils soulignent aussi que la popularité de Signal chez les cibles d'opération de surveillance et d'espionnage que sont les militaires, politiques, journalistes et activistes font de cette application de messagerie sécurisée un objectif de choix pour les pirates.

Mais Google précise avoir repéré le même genre de tentatives d'attaques contre WhatsApp et Telegram. Les chercheurs de Google renvoient d'ailleurs vers le billet de blog de leurs homologues chez Microsoft sur la campagne ciblant WhatsApp, que nous avions détaillée le mois dernier.

La cible : la fonction de liaison vers un nouvel appareil

« La technique la plus novatrice et la plus largement utilisée par les pirates liés à la Russie pour compromettre les comptes Signal est l'utilisation abusive de la fonction légitime "appareils liés" de l'application, qui permet d'utiliser Signal sur plusieurs appareils simultanément », expliquent-ils. Cette fonction, qui permet d'ajouter l'application à un nouvel appareil, propose de scanner un code QR pour vérifier l'identité. Les pirates ont ainsi créé des codes QR qui renvoient vers une instance de Signal qu'ils contrôlent.

« En cas de succès, les futurs messages seront transmis de manière synchrone à la fois à la victime et à l'acteur malveillant en temps réel, ce qui constitue un moyen permanent d'écouter les conversations sécurisées de la victime sans qu'il soit nécessaire de compromettre l'ensemble de l'appareil », commentent-ils.

Kropyva, une application militaire ukrainienne en cible secondaire

Ils expliquent que le groupe de pirates UNC5792 a réussi à modifier des pages légitimes d'« invitation de groupe » pour les diffuser dans des campagnes d'hameçonnage. Il a remplacé la redirection prévue vers un groupe Signal par une autre vers une URL malveillante, conçue pour lier un appareil contrôlé par le pirate au compte Signal de la victime.

Selon eux, un autre groupe de pirates russes, UNC4221, utiliserait un kit de phishing conçu spécialement pour Signal, afin de cibler les troupes ukrainiennes. En effet, ils utiliseraient la même méthode qu'UNC5792, mais pour cibler l'application Kropyva, utilisée par l'armée ukrainienne pour guider ses troupes.

Commentaires (9)

votre avatar
Il suffisait à l'appli Signal de demander confirmation de liaison après scan du Code QR :/

Cela aurait permis aux cibles de comprendre qu'ils ne scannaient pas un Code QR permettant de rejoindre un groupe mais bien un Code QR de liaison !
votre avatar
C'était déjà le cas. Cette "faille" est principalement du phishing de cibles naïves et le correctif est principalement d'ajouter des étapes à la con au-dessus d'une procédure déjà bien explicite.
votre avatar
J'ai pas compris comment fonctionne la faille qui repose sur la fonction "appareils liés", et l'article de Google ne semble pas mieux l'expliquer... Le QR code pour lier un nouvel appareil est généré par l'application qui est sur l'appareil principal. Comment ont-ils pu forcer l'utilisation de QR codes malicieux ?
votre avatar
Il manque en effet une étape dans l'explication
votre avatar
Non, le QR code pour lier un nouvel appareil est généré par le nouvel appareil.
Et il faut le scanner avec l'appareil d'origine (depuis signal) pour l'autoriser.
@Spike , et ça indique très clairement que c'est pour associer un nouvel appareil.

Après, c'est peut-être juste un lien vers une page web et que scanner avec n'importe quelle appli fonctionne…
Je n'ai pas regardé ce que contenait le QR code d'association.
votre avatar
Non, le QR code pour lier un nouvel appareil est généré par le nouvel appareil.
En effet, my bad.

Mais je ne comprends pas plus où est la faille... Le QR code est tout de même généré par l'application Signal. A quel moment un QR code malicieux est généré ??
votre avatar
Ça me rassure de constater que je ne suis pas le seul pour qui cet article est cryptique...

Un schéma résumant le fonctionnement de l'attaque n'aurait pas été de trop.
votre avatar
Si je résumes bien la faille est entre la chaise et le clavier. Elle consiste simplement à faire scanner à la victime un QR Code qui lie le compte Signal de la victime vers une instance Signal des pirates.
votre avatar
en faisant croire que c'est une invitation à un groupe Signal.

Des pirates russes ont réussi à espionner des comptes Signal de militaires ukrainiens

  • Signal principalement ciblée, mais WhatsApp et Telegram aussi

  • La cible : la fonction de liaison vers un nouvel appareil

  • Kropyva, une application militaire ukrainienne en cible secondaire

Fermer