Deux mois après une alerte des renseignements allemands sur une campagne de phishing à travers l’application de messagerie Signal, Berlin a découvert la semaine dernière l’ampleur des dégâts. Le parquet fédéral allemand a annoncé qu’une enquête était en cours pour “suspicion d’espionnage”, tandis que la presse et les parlementaires confirment que les comptes de nombreux membres du Bundestag ont été compromis.
En février dernier, les services de renseignement allemands ont publié une alerte conjointe sur une campagne de phishing ciblant des personnalités politiques, militaires, diplomatiques et journalistes utilisant Signal. Cette opération n’exploite pas de vulnérabilité logicielle dans l’application elle‑même. Les attaquants utilisent des comptes Signal falsifiés, présentés comme du support officiel, qui envoient des messages en anglais imitant des alertes de sécurité pour inciter la victime à fournir son code de vérification ou son PIN Signal.
Les communications entre parlementaires compromises ?
Ces codes acquis, l’attaquant peut redémarrer le compte Signal sur un appareil sous son contrôle, déconnectant l’utilisateur légitime tout en ayant accès à l’historique récent. La seconde méthode relayée par la presse allemande en février consistait à exploiter la fonction de liaison de plusieurs appareils et la victime est poussée à scanner un QR code présenté comme une étape de vérification, ce qui lie le compte à un appareil contrôlé par l’attaquant et permet de lire les messages, les contacts et une partie de l’historique sans que l’utilisateur ne le remarque immédiatement.
Les services allemands ont ainsi souligné que ce piratage reposait entièrement sur l’ingénierie sociale, exploitant la confiance dans les messages de “support” et dans les flux de sécurité habituels, plutôt que sur une faille technique dans Signal. En outre, cette campagne serait soutenue par un État habitué à mener des cyberattaques, comme la Russie, Israël ou la Corée du Nord, compte tenu de son déroulement sur plusieurs semaines, voire des mois.
À ce moment-là, cela fait deux mois, ni la presse allemande, ni le gouvernement ni les renseignements ne se sont attardés sur l’ampleur de cette cyberattaque, malgré les nombreuses cibles sectorielles citées dans l’alerte. Mais le parquet fédéral a tout de même ouvert une enquête pour “suspicion d’espionnage” et celle-ci a été annoncée vendredi 24 avril.
On apprend dès lors que l’ampleur de cette campagne de piratage est “extrêmement préoccupante”, particulièrement au sein du Bundestag, le parlement allemand, où la sécurité des communications est entièrement remise en cause. D’ailleurs, deux jours auparavant, le mercredi, l’hebdomadaire Der Spiegel révélait que la présidente de la chambre basse du Parlement, Julia Klöckner, avait été victime de cette attaque.
“L’ampleur du récent piratage de Signal, telle qu’elle est connue à ce stade, est extrêmement préoccupante. À l’heure actuelle, personne ne peut dire avec certitude que l’intégrité des communications des députés est encore garantie”, a confirmé Konstantin von Notz, élu des Verts et expert des questions de sécurité nationale.
Les langues ont vite commencé à se délier. À titre d’exemple, deux partis, les sociaux-démocrates, et l’extrême gauche, Die Linke, ont admis que “quelques-uns” de leurs élus étaient concernés. Et le nombre de personnes affectées à se manifester est appelé à augmenter dans les prochains jours, prévient encore Konstantin von Notz.
Une attaque toujours “en cours”
Le ministère de l’Intérieur a expliqué, par la voix de sa porte-parole, que cette cyberattaque, qui a débuté en février, est “encore en cours” et “probablement menée par un acteur étatique”. Le ministère confirme que les “politiques, l’armée, la diplomatie ainsi que des journalistes d’investigation” sont ciblés.
Un porte-parole de la chancellerie allemande, Sebastian Hille, a tenu à souligner vendredi que “les communications du gouvernement fédéral, du chancelier fédéral et des ministres fédéraux sont sécurisées”.
Pour l’élu des Verts, Konstantin von Notz, cette campagne de piratage et son impact témoignent des “manquements malheureusement massifs” de la sécurité informatique en Allemagne. Il pointe du doigt le retard dont fait l’objet une réforme constitutionnelle visant à renforcer les capacités des services de sécurité allemands en la matière.
Cette cyberattaque en Allemagne rappelle les récentes cyberattaques en France qui ont frappé des institutions stratégiques et des plateformes très sensibles, comme l’État, des caisses sociales, des systèmes de services publics ou des opérateurs télécoms. Mais Berlin insiste sur un possible acteur d’origine étatique, souvent identifié à la Russie, avec un objectif de déstabilisation politique et d’espionnage. Toutefois, en France, les autorités mettent davantage en avant des groupes de cybercriminels et des opérations de ransomware, dont le but principal paraît être le vol de données et le chantage financier plutôt qu’une stratégie de déstabilisation politique directe.
Cependant, dans un cas comme dans l’autre, ces cyberattaques interrogent les capacités de défense des deux États les plus puissants d’Europe face à la cybermenace. L’interprétation de ces attaques par les deux pays diffère, certes, mais Paris et Berlin montrent des vulnérabilités communes : dépendance à des messageries peu maîtrisées, un peu moins pour la France depuis le lancement d’applications locales dédiées, fuites massives de données, et difficulté à garantir une “hygiène” aux utilisateurs malgré la sensibilité des informations.
