Piratage : les services allemands alertent sur des attaques visant Signal et potentiellement WhatsApp
L’alerte vient de Berlin, et elle ne parle ni de « faille » ni de virus. Les services allemands expliquent au contraire qu’une campagne de phishing vise des comptes Signal d’élus, de militaires, de diplomates et de journalistes. En détournant des fonctions parfaitement légitimes de l’application. L’objectif : entrer discrètement dans des conversations, récupérer des listes de contacts, puis remonter toute une chaîne relationnelle.
D’après les autorités allemandes, le mode opératoire repose surtout sur l’ingénierie sociale. Les attaquants se font passer pour un « support » ou un compte d’assistance afin de pousser la cible à fournir un code ou à scanner un QR code. Ce scénario, déjà vu dans des opérations attribuées à des acteurs liés à des États contre des messageries chiffrées. Et rappelle que la sécurité ne se joue pas seulement dans le chiffrement, mais aussi dans les réglages… Et dans les réflexes.
Une attaque sans malware, mais avec un piège très humain
Le point frappant de la mise en garde allemande, c’est la simplicité apparente. Les agences expliquent que la campagne ne s’appuie pas sur l’installation d’un logiciel malveillant et ne cherche pas non plus à exploiter une vulnérabilité technique. Les attaquants « discutent » avec la cible, sous un prétexte crédible, jusqu’à obtenir ce qui leur manque : une action de l’utilisateur.
Dans le document évoqué par les autorités, l’objectif est décrit sans détour : accéder sans se faire remarquer à des discussions individuelles et de groupe. Mais aussi aux carnets de contacts. Et quand une personne « intéressante » est compromise, le bénéfice dépasse le seul contenu des messages. On récupère des noms, des numéros, des cercles, parfois des groupes entiers.
Autre élément qui inquiète : le ciblage. Il ne s’agit pas d’une pêche au hasard. Les profils mentionnés — responsables politiques, armée, diplomatie, presse — montrent une logique d’espionnage et de renseignement. Avec des campagnes potentiellement conçues pour durer et se renouveler.
Deux méthodes : voler le compte, ou s’inviter comme « appareil lié »
Dans la première variante décrite dans les retours sur l’alerte allemande, la victime est amenée à communiquer un code de vérification ou un PIN. Une fois ces informations récupérées, l’attaquant peut prendre la main sur le compte, comme si l’utilisateur venait de se réinscrire sur un nouveau téléphone. C’est une attaque de contrôle, assez visible, puisque la victime finit souvent par perdre l’accès ou recevoir des signaux anormaux.
La seconde méthode est plus discrète, et c’est celle qui attire le plus l’attention. Elle consiste à pousser la cible à scanner un QR code présenté comme légitime, mais qui sert en réalité à lier le compte à un appareil contrôlé par l’attaquant. Dans ce scénario, la personne continue à utiliser Signal normalement… sans forcément remarquer qu’un « invité » lit aussi une partie des échanges.
Ce type de détournement a déjà été documenté dans d’autres contextes. Google a notamment décrit des opérations où des acteurs alignés sur la Russie ont ciblé Signal via des mécanismes de QR codes et de « linked devices », pour capter les messages en temps réel sans casser le chiffrement.
Pourquoi WhatsApp est cité dans l’avertissement
Les autorités allemandes insistent sur un point : même si l’attaque observée vise Signal, le raisonnement pourrait s’appliquer à d’autres messageries qui reposent sur des logiques similaires de jumelage d’appareils. WhatsApp, avec ses « appareils liés » et WhatsApp Web, fait partie des candidats évidents.
Et ce n’est pas qu’une hypothèse théorique. Microsoft a déjà décrit une campagne de spearphishing où un QR code présenté comme une invitation de groupe cachait en réalité un mécanisme de connexion d’un appareil à WhatsApp, ouvrant l’accès au compte.
À côté des opérations étatiques, des cybercriminels ont aussi industrialisé des détournements similaires. Fin 2025, Gen Digital a détaillé une campagne baptisée « GhostPairing », qui abuse du jumelage d’appareils WhatsApp pour prendre le contrôle d’un compte et s’en servir ensuite pour des escroqueries et de l’usurpation.
Le risque réel : un compte compromis, puis un réseau entier exposé
Dans les messageries chiffrées, on parle souvent de la promesse : « personne ne peut lire vos messages ». C’est vrai… tant que la clé reste du bon côté. Or, une fois qu’un attaquant a réussi à faire lier un appareil, ou à prendre le contrôle du compte, il ne casse pas le chiffrement : il se place au même niveau que l’utilisateur, avec un accès « autorisé ».
C’est précisément ce que les autorités redoutent dans le cas allemand. Un compte compromis ne sert pas seulement à espionner une personne, mais aussi à observer des groupes, identifier des interlocuteurs, et préparer des attaques secondaires plus ciblées. La mécanique peut être progressive : on commence par un profil, puis on passe aux contacts, puis aux contacts des contacts.
À lire aussi
Difficile, dans ce contexte, de compter uniquement sur l’intuition. Beaucoup d’attaques modernes sont construites pour « avoir l’air normal ». Le faux support, par exemple, peut adopter un ton crédible, reprendre des codes graphiques, et jouer sur l’urgence — une technique classique du phishing, mais transposée dans une messagerie chiffrée où l’on se sent souvent en confiance.
Piratage Signal : les conseils concrets pour se protéger au mieux
La première règle est simple : le support ne vous écrira pas comme ça. Signal rappelle, via des relais comme netzpolitik.org, que l’application ne contacte pas les utilisateurs par un chat « de support » dans l’app, et qu’il ne faut jamais partager sa PIN ou des codes de vérification. Si un compte vous demande ce type d’information, il faut partir du principe que c’est une tentative de piégeage.
Ensuite, il faut verrouiller ce qui peut l’être. Sur Signal, l’option souvent citée est la « registration lock » (verrouillage de l’enregistrement / Registrierungssperre), qui ajoute une barrière pour empêcher l’enregistrement du numéro sur un nouvel appareil sans le bon code. L’idée n’est pas de rendre la vie impossible, mais d’empêcher qu’un simple code obtenu par manipulation suffise à basculer un compte.
Le troisième réflexe consiste à vérifier régulièrement les appareils liés. C’est un geste que beaucoup ne font jamais, ce qui rend la méthode du QR code particulièrement redoutable. Sur WhatsApp, la section « Appareils connectés » mérite la même attention, surtout si vous utilisez WhatsApp Web sur des machines partagées ou si vous vous connectez depuis des environnements professionnels.
Autre point, souvent sous-estimé : ne scannez pas un QR code « par réflexe ». Les campagnes de quishing (phishing via QR codes) se multiplient, notamment dans l’espace public, parce qu’un QR code est illisible à l’œil nu et peut masquer une destination piégée. Quand un QR code arrive dans un message et prétend « sécuriser votre compte », le signal d’alarme doit être immédiat.
Enfin, la prudence doit s’étendre aux détails de votre téléphone. Un attaquant peut se faire passer pour un collègue, un contact, ou un service d’assistance, et pousser à agir vite. Dans ces moments-là, revenir à une règle de base aide : toute action de sécurité doit être initiée par vous, depuis les paramètres officiels de l’app, et jamais en suivant une consigne reçue dans une conversation.
Une alerte allemande qui s’inscrit dans une vague plus large
Cette campagne ne surgit pas dans le vide. Depuis plusieurs mois, les autorités européennes et des acteurs de la cybersécurité décrivent un glissement : les attaques visent de plus en plus les individus, directement, plutôt que seulement des réseaux d’entreprise. Le téléphone personnel, la messagerie utilisée au quotidien, ou l’ordinateur portable deviennent des portes d’entrée plus discrètes.
Les messageries chiffrées n’échappent pas à la règle. En Ukraine, des techniques proches, basées sur des QR codes et des fonctions de liaison, ont déjà été attribuées à des groupes d’espionnage dans des contextes très sensibles. Et quand une technique fonctionne sur un théâtre, elle finit souvent par voyager.
Ce que rappelle l’alerte allemande, au fond, c’est une réalité un peu moins rassurante que les slogans. Le chiffrement protège le transport du message. La sécurité du compte, elle, dépend aussi des réglages, de la vérification des appareils liés, et de la capacité à dire non quand quelqu’un, même « crédible », réclame un code.
Soyez toujours prudent
Le message des autorités allemandes est clair : le piratage Signal qu’elles décrivent n’a rien d’une attaque « hollywoodienne ». Il repose sur des mécanismes normaux et sur une faiblesse bien connue, l’urgence et la confiance. Dans un contexte où WhatsApp et d’autres messageries partagent des fonctionnalités de jumelage d’appareils, la meilleure défense reste une combinaison de réglages simples et de réflexes réguliers.
Activer le verrouillage d’enregistrement, surveiller les appareils liés, refuser tout « support » qui écrit en direct et se méfier des QR codes inattendus : ce sont des gestes banals, mais ils font souvent la différence.
Retrouvez plus d’article sur le même thème ici.
