Le 9 mars, les deux agences de renseignement des Pays-Bas, l’AIVD (sécurité intérieure) et le MIVD (renseignement militaire), ont publié un avis conjoint qui a fait l’effet d’une douche froide : des hackers liés à l’État russe mènent une campagne mondiale pour infiltrer les comptes Signal et WhatsApp de hauts fonctionnaires, militaires et diplomates. Des employés du gouvernement néerlandais figurent parmi les victimes confirmées.
Le chiffrement ne protège pas de la ruse
Le protocole Signal, utilisé par les deux messageries, reste l’un des plus robustes au monde. Aucune faille technique n’a été exploitée. La directrice générale de l’AIVD, Simone Smit, a tenu à le préciser : « Signal et WhatsApp n’ont pas été compromis dans leur ensemble. Ce sont des comptes individuels qui sont visés. »
Les hackers russes contournent le chiffrement sans le toucher. Leur arme : l’ingénierie sociale, cette technique vieille comme le renseignement qui consiste à manipuler les humains plutôt que les machines.
Deux techniques, redoutablement simples
La première méthode est la plus répandue. Les attaquants se font passer pour le support technique de Signal. Ils contactent leurs cibles par message, prétextent un problème de sécurité et demandent de communiquer le code de vérification envoyé par SMS. Ce code, c’est la clé du compte. Une fois transmis, l’attaquant enregistre le numéro de sa victime sur son propre appareil et prend le contrôle total : messages entrants, historique de conversations, groupes.
La seconde technique exploite la fonction « appareils liés » de Signal et WhatsApp. Les hackers envoient un QR code piégé ou un lien frauduleux. En le scannant, la victime connecte sans le savoir l’appareil de l’espion à son compte. L’attaquant reçoit alors une copie de tous les messages en temps réel, sans que le propriétaire du compte ne s’aperçoive de rien.
Pourquoi Signal attire les espions du Kremlin
Le vice-amiral Peter Reesink, directeur du MIVD, l’explique sans détour : « Les messageries chiffrées comme Signal et WhatsApp ne devraient pas être utilisées pour des informations classifiées, confidentielles ou sensibles. » Le paradoxe est brutal : c’est précisément la réputation de sécurité de Signal qui en fait une cible prioritaire. Plus les gouvernements s’y fient pour leurs échanges internes, plus l’application devient une mine de renseignements pour qui parvient à s’y infiltrer.
Le phénomène n’est pas nouveau. En 2025, le groupe d’analyse des menaces de Google avait documenté l’intérêt prononcé des services russes pour Signal, alors massivement utilisé par l’armée, les politiques et les journalistes ukrainiens. Les chercheurs avaient identifié des cas où des hackers militaires russes récupéraient des téléphones sur le champ de bataille et liaient les comptes Signal des soldats capturés à leurs propres appareils, selon The Record.
Cette campagne néerlandaise marque un élargissement géographique. Ce n’est plus seulement l’Ukraine. Les Pays-Bas, membre fondateur de l’OTAN, voient leurs propres fonctionnaires piégés. L’AIVD estime que des journalistes et d’autres « personnes d’intérêt pour le gouvernement russe » pourraient figurer sur la liste des cibles.
Comment repérer un compte compromis
L’avis des services néerlandais contient des indicateurs concrets, accessibles à tous les utilisateurs de Signal. Premier réflexe : vérifier les membres de vos groupes. Si une même personne apparaît deux fois, sous un nom identique ou légèrement modifié, c’est un signal d’alerte. Le compte a probablement été cloné.
Autre indice : un membre dont le nom d’affichage change soudainement pour « Deleted account ». Quand un utilisateur supprime légitimement son compte, la transition ne génère pas de notification dans le groupe. Si vous voyez une notification de changement de nom vers « Deleted account », le compte a vraisemblablement été manipulé manuellement.
L’AIVD recommande de signaler tout comportement suspect au service de sécurité informatique de votre organisation, puis de vérifier l’identité du contact concerné par un autre canal : un appel téléphonique ou un e-mail. Si un doute persiste sur le compte de l’administrateur d’un groupe, les services conseillent de quitter le groupe et d’en créer un nouveau.
Les gestes qui bloquent la plupart des attaques
Les deux techniques russes reposent sur la même faille : la confiance. Quelques règles suffisent à s’en protéger. Ne jamais communiquer un code de vérification, même si la demande semble provenir de Signal. Le vrai support de l’application ne contacte jamais ses utilisateurs par message. Ne jamais scanner un QR code dont l’origine n’est pas vérifiée.
Activer le verrouillage par code PIN dans les paramètres de Signal (Compte > Verrou d’enregistrement) empêche l’enregistrement du numéro sur un nouvel appareil sans ce code supplémentaire. Pour WhatsApp, vérifier régulièrement la liste des appareils liés (Paramètres > Appareils liés) et supprimer tout appareil inconnu ferme la porte aux accès clandestins.
Cette campagne russe intervient dans un contexte d’escalade cyber plus large. En Europe, les agences de renseignement ont chacune multiplié les alertes sur les opérations d’espionnage numérique russes ces derniers mois, rapporte Wired. Le renseignement néerlandais est le premier à cibler explicitement Signal et WhatsApp dans un avis public. L’Union européenne prépare une révision de sa directive NIS 2 pour le second semestre 2026, qui pourrait imposer aux institutions des règles plus strictes sur l’usage des messageries chiffrées dans les échanges officiels.
]]>
