CERTFR-2026-ALE-003
Vulnerability from certfr_alerte - Published: 2026-03-20 - Updated: 2026-06-18
Le CERT-FR observe une recrudescence de campagnes d’attaques ciblant les comptes de messagerie instantanées. Ces campagnes ciblent particulièrement les secteurs régaliens (personnalités politiques, cadres de l’administration) mais aussi les personnels de la société civile exerçant des fonctions sensibles (journalistes, industriels, etc.).
Ces attaques – quand elles réussissent – peuvent permettre à des acteurs malveillants d’accéder aux historiques de conversation, voire de prendre le contrôle des comptes de messagerie de leurs victimes et de diffuser des messages en usurpant leur identité.
Des campagnes ciblant des comptes utilisateurs de l’application de messagerie Signal ont été observées par le CERT-FR ces derniers mois, entraînant une prise de contrôle partielle ou complète d’un compte. Aucune vulnérabilité n’est exploitée, les attaquants prenant avantage de fonctionnalités légitimes de Signal. Les méthodes employées sont applicables aux autres applications de messagerie commerciales, comme WhatsApp.
Ces campagnes d’attaques visent les applications de messagerie, et non le téléphone en lui-même, qui n’est pas compromis par l’attaquant. Elles sont caractérisées par la réception de messages :
- invitant à rejoindre un groupe de discussion en scannant un QR code, ce qui aura en réalité pour effet d’associer le compte de messagerie à un appareil contrôlé par l’attaquant. Cette association permet à l’attaquant de prendre le contrôle du compte, même si la victime en conserve toujours l’accès ;
- initiant une prise de contact afin, en cas de réponse de la victime, de l’inciter à divulguer des éléments de sécurité (code PIN ou code de vérification notamment). Cette variante permet à l’attaquant de modifier le numéro de téléphone associé au compte et donc d’en prendre le contrôle de façon irrémédiable.
Dans les campagnes observées, l’attaquant contacte initialement la victime en utilisant un compte Signal nommé par exemple « Signal Support » ou « Signal Security ChatBot ». L’attaquant peut également contacter la victime via SMS, en utilisant une autre application de messagerie, ou d’autres comptes Signal préalablement compromis.
Actions immédiates à effectuer en cas de suspicion de compromission
- prévenir les contacts et ceux présents dans les groupes de la messagerie instantanée, via un autre canal, que le compte a été compromis ;
- contrôler l’absence de compte en doublon présent dans vos conversations de groupe. Le cas échéant, supprimer les comptes en doublon dont l’accès n’est plus disponible. Par exemple, pour la messagerie instantanée Signal, utiliser le nom d’utilisateur – qui est unique - pour discriminer ;
- vérifier dans les paramètres de l’application la légitimité des appareils associés au compte et supprimer les appareils inconnus ;
- en complément de ces actions, en cas de tentative de compromission, il est recommandé de déposer plainte auprès de la section de lutte contre la cybercriminalité du Parquet de Paris par l’envoi d’un courrier à l’adresse suivante :
Préconisations générales d’hygiène numérique
- définir un code PIN pour l’application ;
- ne jamais répondre à des messages reçus de la part d’individus ou d’entités pour lesquels l’utilisateur de la messagerie n’est pas certain de la véritable identité. En cas de doute, il est nécessaire de vérifier la légitimité du message via un autre canal que celui par lequel il a été reçu. Il convient de préciser que le support technique de ces messageries n’envoie jamais légitimement de messages directs aux utilisateurs ;
- ne jamais communiquer des identifiants, des codes PIN ou des mots de passe par ces messageries ;
- ne jamais scanner de QR codes reçus ;
- rester vigilant aux événements de sécurité affichés dans l’application de messagerie instantanée (par exemple : alertes de changement du numéro de sécurité d’un contact, ou encore connexion depuis un appareil inconnu) ;
- ne pas se fier au nom d’utilisateur affiché par la messagerie instantanée, qui peut être arbitrairement choisi ;
- ne pas cliquer sur des liens et ne pas ouvrir les fichiers présents dans des messages non sollicités. Un lien malveillant peut conduire à la compromission d’un téléphone mobile ;
- signaler et bloquer les comptes suspects ;
- vérifier régulièrement la liste des appareils associés et supprimer tout appareil qui n’appartient pas à l’utilisateur dans les paramètres de la messagerie instantanée ;
- confirmer le numéro de sécurité des contacts lorsque cela est possible, par exemple lors de rencontres physiques ou par un autre canal ;
- en cas de perte d’accès au compte, effectuer une inscription ou une réinscription et prévenir les contacts du nouveau nom d’utilisateur, en les invitant à bloquer l’ancien compte.
Les travaux conjoints des services membres du Centre de Coordination des Crises Cyber (C4) ont permis d’identifier une recrudescence de campagnes d’attaques ciblant les comptes de messagerie instantanées et ont publié une note d’alerte [1].
References
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Applications de messagerie instantan\u00e9e",
"product": {
"name": "N/A",
"vendor": {
"name": "ANSSI",
"scada": false
}
}
}
],
"affected_systems_content": "",
"closed_at": "2026-04-20",
"content": "",
"cves": [],
"initial_release_date": "2026-03-20T00:00:00",
"last_revision_date": "2026-06-18T00:00:00",
"links": [
{
"title": "[1] Note d\u2019alerte \u2013 Ciblage des messageries instantan\u00e9es du 20 mars 2026",
"url": "https://www.cert.ssi.gouv.fr/uploads/20260320_NP_C4_Alerte_Ciblage_messagerie_instantanee.pdf"
},
{
"title": "Documentation Signal sur la r\u00e9inscription",
"url": "https://support.signal.org/hc/fr/articles/5440120029082-Utiliser-le-code-PIN-Signal-pour-se-r\u00e9inscrire"
},
{
"title": "Documentation Signal sur l\u2019inscription",
"url": "https://support.signal.org/hc/fr/articles/360007318691-Inscrire-un-num\u00e9ro-de-t\u00e9l\u00e9phone"
},
{
"title": "Documentation de Signal sur les noms d\u2019utilisateur",
"url": "https://support.signal.org/hc/fr/articles/6712070553754-Nom-d-utilisateur-et-confidentialit\u00e9-du-num\u00e9ro-de-t\u00e9l\u00e9phone#my_username"
},
{
"title": "Documentation de Signal sur le num\u00e9ro de s\u00e9curit\u00e9",
"url": "https://support.signal.org/hc/fr/articles/360007060632-Qu-est-ce-qu-un-num\u00e9ro-de-s\u00e9curit\u00e9-et-pourquoi-peut-il-changer"
},
{
"title": "Documentation de Signal sur le signalement et le blocage de comptes",
"url": "https://support.signal.org/hc/fr/articles/360007060072-Bloquer-des-num\u00e9ros-des-noms-d-utilisateur-ou-des-groupes"
},
{
"title": "Canevas de lettre plainte en mati\u00e8re cyber",
"url": "https://www.cert.ssi.gouv.fr/uploads/Canevas_de_lettre_plainte_en_matiere_cyber_PJ2.docx"
},
{
"title": "Documentation de Signal sur la dissociation d\u2019appareils",
"url": "https://support.signal.org/hc/fr/articles/360007321111-Dissocier-des-appareils"
}
],
"reference": "CERTFR-2026-ALE-003",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2026-03-20T00:00:00.000000"
},
{
"description": " Cl\u00f4ture de l\u0027alerte. Cela ne signifie pas la fin d\u0027une menace. Seule l\u0027application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l\u0027exploitation de la vuln\u00e9rabilit\u00e9 correspondante.",
"revision_date": "2026-04-20T00:00:00.000000"
},
{
"description": "Mise \u00e0 jour de l\u0027alerte.",
"revision_date": "2026-06-18T00:00:00.000000"
}
],
"risks": [
{
"description": "Contournement de la politique de s\u00e9curit\u00e9"
},
{
"description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
}
],
"summary": "Le CERT-FR observe une recrudescence de campagnes d\u2019attaques ciblant les comptes de messagerie instantan\u00e9es. Ces campagnes ciblent particuli\u00e8rement les secteurs r\u00e9galiens (personnalit\u00e9s politiques, cadres de l\u2019administration) mais aussi les personnels de la soci\u00e9t\u00e9 civile exer\u00e7ant des fonctions sensibles (journalistes, industriels, etc.).\n\nCes attaques \u2013 quand elles r\u00e9ussissent \u2013 peuvent permettre \u00e0 des acteurs malveillants d\u2019acc\u00e9der aux historiques de conversation, voire de prendre le contr\u00f4le des comptes de messagerie de leurs victimes et de diffuser des messages en usurpant leur identit\u00e9. \n\nDes campagnes ciblant des comptes utilisateurs de l\u2019application de messagerie Signal ont \u00e9t\u00e9 observ\u00e9es par le CERT-FR ces derniers mois, entra\u00eenant une prise de contr\u00f4le partielle ou compl\u00e8te d\u2019un compte. Aucune vuln\u00e9rabilit\u00e9 n\u2019est exploit\u00e9e, les attaquants prenant avantage de fonctionnalit\u00e9s l\u00e9gitimes de Signal. Les m\u00e9thodes employ\u00e9es sont applicables aux autres applications de messagerie commerciales, comme WhatsApp.\n\nCes campagnes d\u2019attaques visent les applications de messagerie, et non le t\u00e9l\u00e9phone en lui-m\u00eame, qui n\u2019est pas compromis par l\u2019attaquant. Elles sont caract\u00e9ris\u00e9es par la r\u00e9ception de messages : \n\u003cul\u003e\n \u003cli\u003e invitant \u00e0 rejoindre un groupe de discussion en scannant un QR code, ce qui aura en r\u00e9alit\u00e9 pour effet d\u2019associer le compte de messagerie \u00e0 un appareil contr\u00f4l\u00e9 par l\u2019attaquant. Cette association permet \u00e0 l\u2019attaquant de prendre le contr\u00f4le du compte, m\u00eame si la victime en conserve toujours l\u2019acc\u00e8s\u00a0; \u003c/li\u003e\n \u003cli\u003e initiant une prise de contact afin, en cas de r\u00e9ponse de la victime, de l\u2019inciter \u00e0 divulguer des \u00e9l\u00e9ments de s\u00e9curit\u00e9 (code PIN ou code de v\u00e9rification notamment). Cette variante permet \u00e0 l\u2019attaquant de modifier le num\u00e9ro de t\u00e9l\u00e9phone associ\u00e9 au compte et donc d\u2019en prendre le contr\u00f4le de fa\u00e7on irr\u00e9m\u00e9diable.\u003c/li\u003e\n\u003c/ul\u003e\n\nDans les campagnes observ\u00e9es, l\u2019attaquant contacte initialement la victime en utilisant un compte Signal nomm\u00e9 par exemple \u00ab\u00a0Signal Support\u00a0\u00bb ou \u00ab\u00a0Signal Security ChatBot\u00a0\u00bb. L\u2019attaquant peut \u00e9galement contacter la victime via SMS, en utilisant une autre application de messagerie, ou d\u2019autres comptes Signal pr\u00e9alablement compromis.\n\n\u003ccenter\u003e\u003cimg src=\"https://www.cert.ssi.gouv.fr/uploads/signal_phishing1.png\" width=\"483\" length=\"320\"\u003e\u003c/center\u003e\n\n## Actions imm\u00e9diates \u00e0 effectuer en cas de suspicion de compromission \n\u003cul\u003e\n \u003cli\u003e pr\u00e9venir les contacts et ceux pr\u00e9sents dans les groupes de la messagerie instantan\u00e9e, via un autre canal, que le compte a \u00e9t\u00e9 compromis ;\u003c/li\u003e\n \u003cli\u003e contr\u00f4ler l\u2019absence de compte en doublon pr\u00e9sent dans vos conversations de groupe. Le cas \u00e9ch\u00e9ant, supprimer les comptes en doublon dont l\u2019acc\u00e8s n\u2019est plus disponible. Par exemple, pour la messagerie instantan\u00e9e Signal, utiliser le nom d\u2019utilisateur \u2013 qui est unique - pour discriminer ; \u003c/li\u003e\n \u003cli\u003e v\u00e9rifier dans les param\u00e8tres de l\u2019application la l\u00e9gitimit\u00e9 des appareils associ\u00e9s au compte et supprimer les appareils inconnus ; \u003c/li\u003e\n \u003cli\u003e en compl\u00e9ment de ces actions, en cas de tentative de compromission, il est recommand\u00e9 de d\u00e9poser plainte aupr\u00e8s de la section de lutte contre la cybercriminalit\u00e9 du Parquet de Paris par l\u2019envoi d\u2019un courrier \u00e0 l\u2019adresse suivante\u00a0:\u003c/li\u003e\n\u003c/ul\u003e\n\u003ccenter\u003eMadame la Procureure de la R\u00e9publique\u003c/center\u003e\n\u003ccenter\u003eTribunal judiciaire de Paris \u2013 Section J3\u003c/center\u003e\n\u003ccenter\u003eParvis du Tribunal de Paris\u003c/center\u003e\n\u003ccenter\u003e75 859 Paris Cedex 17\u003c/center\u003e\n\n## Pr\u00e9conisations g\u00e9n\u00e9rales d\u2019hygi\u00e8ne num\u00e9rique \n\u003cul\u003e\n \u003cli\u003e d\u00e9finir un code PIN pour l\u2019application ; \u003c/li\u003e\n \u003cli\u003e ne jamais r\u00e9pondre \u00e0 des messages re\u00e7us de la part d\u2019individus ou d\u2019entit\u00e9s pour lesquels l\u2019utilisateur de la messagerie n\u2019est pas certain de la v\u00e9ritable identit\u00e9. En cas de doute, il est n\u00e9cessaire de v\u00e9rifier la l\u00e9gitimit\u00e9 du message via un autre canal que celui par lequel il a \u00e9t\u00e9 re\u00e7u. Il convient de pr\u00e9ciser que le support technique de ces messageries n\u2019envoie jamais l\u00e9gitimement de messages directs aux utilisateurs ;\u003c/li\u003e\n \u003cli\u003e ne jamais communiquer des identifiants, des codes PIN ou des mots de passe par ces messageries ; \u003c/li\u003e\n \u003cli\u003e ne jamais scanner de QR codes re\u00e7us ; \u003c/li\u003e\n \u003cli\u003e rester vigilant aux \u00e9v\u00e9nements de s\u00e9curit\u00e9 affich\u00e9s dans l\u2019application de messagerie instantan\u00e9e (par exemple\u00a0: alertes de changement du num\u00e9ro de s\u00e9curit\u00e9 d\u2019un contact, ou encore connexion depuis un appareil inconnu) ; \u003c/li\u003e\n \u003cli\u003e ne pas se fier au nom d\u2019utilisateur affich\u00e9 par la messagerie instantan\u00e9e, qui peut \u00eatre arbitrairement choisi ;\u003c/li\u003e\n \u003cli\u003e ne pas cliquer sur des liens et ne pas ouvrir les fichiers pr\u00e9sents dans des messages non sollicit\u00e9s. Un lien malveillant peut conduire \u00e0 la compromission d\u2019un t\u00e9l\u00e9phone mobile ; \u003c/li\u003e\n \u003cli\u003e signaler et bloquer les comptes suspects ; \u003c/li\u003e\n \u003cli\u003e v\u00e9rifier r\u00e9guli\u00e8rement la liste des appareils associ\u00e9s et supprimer tout appareil qui n\u2019appartient pas \u00e0 l\u2019utilisateur dans les param\u00e8tres de la messagerie instantan\u00e9e ; \u003c/li\u003e\n \u003cli\u003e confirmer le num\u00e9ro de s\u00e9curit\u00e9 des contacts lorsque cela est possible, par exemple lors de rencontres physiques ou par un autre canal ; \u003c/li\u003e\n \u003cli\u003e en cas de perte d\u2019acc\u00e8s au compte, effectuer une inscription ou une r\u00e9inscription\u00a0et pr\u00e9venir les contacts du nouveau nom d\u2019utilisateur, en les invitant \u00e0 bloquer l\u2019ancien compte. \u003c/li\u003e\n\u003c/ul\u003e\n\nLes travaux conjoints des services membres du Centre de Coordination des Crises Cyber (C4)\u00a0ont permis d\u2019identifier une recrudescence de campagnes d\u2019attaques ciblant les comptes de messagerie instantan\u00e9es et ont publi\u00e9 une note d\u2019alerte [1]. ",
"title": "Note d\u2019alerte \u2013 Ciblage des messageries instantan\u00e9es",
"vendor_advisories": []
}
Loading…
Loading…
Experimental. This forecast is provided for visualization only and may change without notice. Do not use it for operational decisions.
Forecast uses a logistic model when the trend is rising, or an exponential decay model when the trend is falling. Fitted via linearized least squares.
Sightings
| Author | Source | Type | Date | Other |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.
Loading…
Loading…