Les États-Unis offrent 10 millions de dollars pour des hackers du FSB et du GRU visant Signal et WhatsApp

03.07.2026 1
Les États-Unis offrent 10 millions de dollars pour des hackers du FSB et du GRU visant Signal et WhatsApp

Le département d'État américain offre une récompense de 10 millions de dollars pour toute information sur deux groupes de hackers russes soutenus par l'État, UNC5792 et UNC4221, accusés d'avoir mené une vaste campagne de phishing contre des utilisateurs de Signal et WhatsApp liés aux gouvernements de l'OTAN, à la hiérarchie militaire et à la société civile.

Cette récompense, annoncée dans le cadre du programme Rewards for Justice du département d'État le 29 juin 2026, figure parmi les plus importantes offres publiques jamais faites pour des informations sur des cyberacteurs russes ciblant les comptes des applications de messagerie chiffrée plutôt que leur chiffrement lui-même.

Qui sont UNC5792 et UNC4221 ?

Les chercheurs en sécurité relient UNC5792 au service des gardes-frontières du FSB, et UNC4221 aux services de renseignement militaire russes. Les deux groupes mènent des campagnes de phishing parallèles contre des comptes Signal et WhatsApp depuis au moins 2025, selon des avis mis à jour cette année par le FBI et la CISA.

Un piège de phishing visant la clé de sauvegarde, pas une faille de Signal

Les attaquants ne brisent pas le chiffrement de Signal ni celui de WhatsApp. Ils se font plutôt passer pour le support officiel et contactent directement leurs cibles, prétendant qu'une vérification à deux facteurs obligatoire nécessite de ressaisir leur clé de récupération de sauvegarde Signal. Les victimes qui obtempèrent livrent l'unique identifiant qui déverrouille tout leur historique de messages et permet aux attaquants de lier discrètement un second appareil au compte.

  • Usurpation : Les messages semblent provenir du support Signal ou WhatsApp.
  • Prétexte : Une fausse étape de vérification de sécurité obligatoire.
  • Butin : La propre clé de récupération de sauvegarde de la victime, tapée directement dans le chat.
  • Résultat : Accès complet en lecture aux conversations passées et liaison discrète d'un appareil.

Journalistes et ONG explicitement visés

Le département d'État et le FBI décrivent un ensemble de victimes bien plus large que le seul personnel militaire. Outre les responsables gouvernementaux, diplomatiques, de la défense et du renseignement américains et otaniens, la campagne a spécifiquement visé les journalistes couvrant la Russie et l'Ukraine, les ONG soutenant l'Ukraine, ainsi que des analystes politiques et chercheurs spécialisés dans les questions de sécurité russes. Pour les reporters et militants qui utilisent Signal précisément parce que l'application est considérée comme résistante à la surveillance, cette campagne rappelle que le maillon faible se trouve rarement dans le protocole lui-même.

Des milliers de comptes, une seule récompense

Selon les autorités, des milliers de comptes de messagerie commerciale ont été compromis grâce à cette technique au cours des deux campagnes. La récompense de 10 millions de dollars vise à inciter des initiés ou complices à identifier les opérateurs individuels derrière UNC5792 et UNC4221, suivant le même schéma déjà utilisé par Rewards for Justice contre d'autres groupes de hackers liés à un État.

Important : Signal et WhatsApp ne vous demanderont jamais d'envoyer votre clé de récupération de sauvegarde dans un message. Si vous recevez un message prétendant le contraire - même s'il semble provenir du support officiel - ne répondez pas avec la clé, et signalez et bloquez l'expéditeur.

Comment se protéger

  1. Ne partagez jamais votre clé de récupération de sauvegarde Signal ou votre code PIN de vérification en deux étapes WhatsApp, y compris avec des comptes se présentant comme le « support ».
  2. Vérifiez régulièrement les appareils liés dans Signal (Paramètres -> Appareils liés) et WhatsApp (Paramètres -> Appareils liés) et supprimez tout ce que vous ne reconnaissez pas.
  3. Activez le verrouillage de l'enregistrement ou la vérification en deux étapes avec un code PIN que vous seul connaissez.
  4. Considérez par défaut tout message non sollicité de « vérification requise » comme du phishing, quel que soit son air officiel.

Un VPN n'arrête pas cette attaque spécifique, puisque le phishing se produit à l'intérieur même de l'application de messagerie et non au niveau du réseau - mais pour les journalistes et le personnel des ONG opérant en Russie et en Ukraine ou couvrant ces pays, faire transiter son trafic par un VPN reste important pour dissimuler sa localisation et son activité de navigation face aux mêmes acteurs étatiques à l'origine de ces campagnes de phishing.

Conclusion : Le FSB et le GRU ne se contentent plus de pirater des réseaux : ils ciblent désormais directement les personnes qui utilisent des messageries sécurisées, des militaires aux journalistes et chercheurs qui les couvrent. Une récompense de 10 millions de dollars montre à quel point Washington prend désormais au sérieux les attaques visant les comptes des applications chiffrées, mais la meilleure défense reste la même : ne jamais donner sa clé de sauvegarde, peu importe qui la demande.
Étiquettes: vpn privacy surveillance cybersecurity security digital rights russia signal

À lire aussi