L’annonce faite le 29 juin 2026 par le département d’État américain vise une campagne d’espionnage numérique active depuis plusieurs mois et qui n’a, semble-t-il, jamais cessé.
Malgré une première alerte du FBI émise au mois de mars 2026, qui faisait état d’une vaste vague de phishing ciblant Signal et WhatsApp, plusieurs milliers de comptes auraient été compromis aux États-Unis en l’espace de quelques semaines.
Les cibles ne doivent rien au hasard : responsables gouvernementaux, hauts gradés militaires, personnels diplomatiques, mais aussi journalistes couvrant la guerre en Ukraine.
Pour identifier les acteurs à l’origine de ces opérations et localiser leurs infrastructures, Washington a décidé de mettre sur la table une récompense pouvant atteindre 10 millions de dollars, en échange de toute information sur le groupe cybercriminel UNC5792.
Comment les pirates s’y prennent concrètement
Concrètement, la méthode de piratage mise en place ne repose sur aucune faille technique dans le chiffrement de Signal ou WhatsApp. Les attaquants n’ont pas cassé la cryptographie des applications, mais exploité des fonctionnalités légitimes.
Le scénario type commence par un message qui se fait passer pour une communication automatisée du support technique de l’application. La cible reçoit un avertissement l’informant d’un prétendu problème de synchronisation, menaçant de lui faire perdre définitivement ses messages et ses fichiers multimédias. Pour éviter cette perte, on lui demande d’activer la sauvegarde de son compte, puis de copier la clé de récupération générée par l’application et de la coller directement dans la conversation avec le faux support.
Cette clé, qui constitue le sésame des attaquants, leur permet de télécharger la sauvegarde chiffrée stockée sur les serveurs de Signal et accéder à l’historique complet des conversations de la victime, y compris les messages privés et les échanges de groupe antérieurs au piratage.
Une autre variante consiste à détourner des liens d’invitation à des groupes de discussion : les attaquants modifient ces pages légitimes pour rediriger l’utilisateur vers une URL malveillante qui lie, à son insu, un appareil contrôlé par les pirates à son compte Signal.
Le FBI insiste sur un point : si une victime fournit sa clé de sauvegarde, le mal n’est qu’en partie réparable. Générer une nouvelle clé invalide certes les futurs téléchargements, mais n’empêche pas les attaquants d’avoir déjà récupéré une copie de l’historique des messages. Pire, si la victime recrée un compte avec le même numéro de téléphone après l’incident, l’ancienne clé compromise peut potentiellement être réutilisée pour pirater ce nouveau compte.
Deux groupes liés au FSB et à l’armée russe dans le viseur
L’enquête a permis d’identifier deux clusters distincts, suivis sous les noms de code UNC5792 et UNC4221.
Selon les autorités américaines, UNC5792 est associé aux gardes-frontières du Service fédéral de sécurité russe (FSB), tandis qu’UNC4221 agirait pour le compte des forces armées russes. C’est UNC5792 qui est identifié comme le principal artisan des campagnes de phishing massives visant les comptes Signal et WhatsApp.
Le département d’État précise qu’après avoir compromis un premier compte, les attaquants ont également pu s’en servir pour envoyer des messages et mener de nouvelles campagnes de phishing visant d’autres comptes sur ces mêmes applications, créant un effet de propagation.
Pour prétendre à la récompense, Washington demande des informations très précises : noms, localisations et éléments biographiques des membres d’UNC5792, leurs liens avec les services de renseignement russes, l’identité du personnel technique et des éventuels sous-traitants, mais aussi les infrastructures utilisées (noms de domaine, serveurs, hébergeurs) ainsi que les circuits financiers de l’opération, des comptes bancaires aux portefeuilles de cryptomonnaies.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Tous nos articles sont aussi sur notre profil Google : suivez-nous pour ne rien manquer !