Les deux principales agences de sécurité allemandes ont publié un avis conjoint urgent le 6 février 2026 concernant une campagne de phishing en cours utilisant l’application de messagerie Signal pour cibler des politiciens, des officiers militaires, des diplomates et des journalistes d’investigation à travers l’Europe.
L’Office fédéral pour la protection de la Constitution (BfV) et l’Office fédéral de la sécurité de l’information (BSI) décrivent des attaques menées par ce qu’ils considèrent être un « acteur malveillant probablement parrainé par un État« . Plutôt que d’exploiter des vulnérabilités logicielles, les attaquants s’appuient entièrement sur l’ingénierie sociale pour manipuler les victimes.
Deux méthodes d’attaque
La campagne utilise deux approches distinctes. Dans la première variante, les attaquants se font passer pour le service d’assistance de Signal sous des noms tels que « Signal Support » ou « Signal Security ChatBot » et envoient des avertissements urgents prétendant qu’une activité suspecte a été détectée sur le compte de la victime. Les cibles sont pressées de partager leur code PIN Signal ou leur code de vérification par SMS, ce qui permet aux attaquants d’enregistrer le compte sur un appareil qu’ils contrôlent et de verrouiller l’accès à l’utilisateur légitime.
La seconde méthode détourne la fonctionnalité légitime d’association d’appareils de Signal. Les attaquants convainquent les victimes de scanner un code QR malveillant, qui associe secrètement le compte de la victime à un appareil contrôlé par l’attaquant. Cela donne aux acteurs malveillants l’accès aux messages, aux discussions de groupe et aux listes de contacts pendant une période pouvant aller jusqu’à 45 jours sans alerter la victime, car les utilisateurs vérifient rarement quels appareils sont connectés à leurs comptes.
« Un accès réussi aux comptes de messagerie permet non seulement d’obtenir un aperçu des communications confidentielles en tête-à-tête, mais également la compromission potentielle de réseaux entiers via les discussions de groupe« , indique l’avis.
Piste russe probable, journalistes ciblés en Europe
Bien que les autorités allemandes n’aient pas directement attribué la campagne à un État spécifique, les techniques utilisées ressemblent étroitement à celles documentées dans les opérations cybernétiques russes. En février 2025, le Groupe de renseignement sur les menaces de Google a averti que plusieurs groupes alignés sur la Russie, y compris l’unité d’élite Sandworm, exploitaient la fonctionnalité des appareils liés de Signal en utilisant des codes QR malveillants pour compromettre les comptes appartenant au personnel militaire et aux responsables gouvernementaux ukrainiens.
« La popularité de Signal auprès des cibles courantes de surveillance et d’activités d’espionnage — telles que le personnel militaire, les politiciens, les journalistes, les activistes et d’autres communautés à risque — a positionné l’application de messagerie sécurisée comme une cible de grande valeur« , ont écrit les chercheurs de Google à l’époque.
La campagne s’est étendue. Le Laboratoire de sécurité d’Amnesty International a confirmé au média allemand netzpolitik.org que « des journalistes, des politiciens et des membres de la société civile en Allemagne et dans toute l’Europe ont été ciblés« . Des dizaines de journalistes d’investigation de grands médias, dont Die Zeit, Correctiv et netzpolitik.org, ont été touchés par ces attaques, certains incidents remontant à novembre 2025.
Comment vous protéger
Les autorités allemandes ont conseillé aux utilisateurs de ne jamais répondre aux messages provenant de comptes prétendant être le support de Signal, car la plateforme ne contacte jamais les utilisateurs directement par messages intégrés à l’application.
Les utilisateurs doivent :
- Activer la fonction « Verrouillage d’inscription » de Signal
- Vérifier régulièrement les appareils liés dans les Paramètres
- Ne jamais partager leur code PIN ou leurs codes de vérification avec quiconque.
Le BSI a noté que des attaques similaires pourraient cibler les utilisateurs de WhatsApp, puisque l’application offre une fonctionnalité comparable de liaison d’appareils.
