Barracuda full logo

Au-delà du message : la CISA met en garde contre des attaques sophistiquées par logiciel espion

Thèmes:
30 déc. 2025
|

Comment les pirates contournent les applications de messagerie chiffrées grâce à l’ingénierie sociale et aux logiciels espions commerciaux

Ce qu’il faut retenir

  • Les pirates utilisent de plus en plus l’ingénierie sociale et les logiciels espions commerciaux pour contourner les défenses des applications de messagerie chiffrées et espionner les communications sensibles.
  • Les nouvelles menaces, comme les attaques par relais NFC, permettent aux cybercriminels de détourner les transactions mobiles et de compromettre la sécurité des appareils à distance.
  • Les entreprises doivent mettre en œuvre une messagerie basée sur le « zero trust », éviter l'authentification par SMS et utiliser des mesures de sécurité supplémentaires pour se protéger contre ces attaques avancées.

 

Les outils de messagerie mobile chiffrée permettent un partage sécurisé des données pour les organismes publics et les entreprises privées. Au lieu de tenter de percer ces défenses numériques, cependant, les pirates ont trouvé un moyen de les contourner : l’ingénierie sociale ciblée associée à des logiciels espions commerciaux.

Selon une alerte récente de l’Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA), les cybercriminels utilisent des codes QR malveillants, des exploitations sans clic et l’usurpation d’identité d’applications pour accéder à des plateformes de messagerie sécurisées et voler des données protégées. 

Des espions fixés sur l’objectif

Comme le souligne l'alerte de la CISA, les pirates ne cherchent pas à prendre le contrôle d'applications sécurisées telles que Signal et WhatsApp. Au lieu de cela, ils suivent le mouvement et espionnent les conversations cruciales. Les recherches suggèrent que les principales cibles comprennent des responsables gouvernementaux, militaires et politiques, actuels et anciens, ainsi que des individus de grande valeur aux États-Unis, en Europe et au Proche-Orient

Il est logique que l'interception de messages militaires ou l'écoute des communications des services publics puisse fournir des données précieuses aux agences d’espionnage des états ou une contrepartie substantielle aux acteurs malveillants. 

Pour accéder aux applications de messagerie sécurisée, les pirates utilisent des tactiques telles que :

hameçonnage + codes QR

Les pirates créent des campagnes d'hameçonnage ciblées qui convainquent les utilisateurs de cliquer sur des liens malveillants ou d’utiliser des codes QR. Ces codes compromettent à la fois les comptes utilisateurs et les lient aux appareils appartenant aux pirates. Le résultat ? Les cybercriminels peuvent suivre et surveiller toutes les conversations sur les applications de messagerie sécurisées, et utiliser l'accès aux appareils pour installer des logiciels malveillants, des ransomwares ou des menaces persistantes avancées (APT). 

Exploitations sans clic

L’hameçonnage et les méthodes d’attaque similaires reposent sur l’action de l’utilisateur : les victimes doivent cliquer sur un lien, lire un code ou envoyer un message. Les exploitations sans clic, quant à elles, se produisent automatiquement une fois que certaines conditions spécifiques sont remplies. Prenons l'exemple du logiciel espion LANDFALL, qui exploite une vulnérabilité de type « zero day » dans la bibliothèque de traitement d'images Android de Samsung. 

Voici comment cela fonctionne : les pirates envoient une image Digital Negative (DNG) mal formée avec une archive ZIP intégrée via WhatsApp. Une fois reçue, l'image est envoyée et traitée sans aucune intervention des utilisateurs, conduisant au déploiement d'un logiciel espion de qualité commerciale sur l'appareil.

Usurpation d’identité de l’application

Les pirates utilisent également les applications elles-mêmes pour infecter les appareils avec des logiciels espions. On peut citer par exemple ClayRat, qui utilise à la fois Telegram lui-même et des sites apparemment légitimes pour proposer des « mises à jour » ou correctifs applicatifs, qui sont en réalité des charges utiles de logiciels espions. En utilisant le gestionnaire de SMS par défaut du système d'exploitation Android, ClayRat accède aux SMS, aux journaux d'appels et aux notifications, et peut également exécuter des commandes à distance pour prendre des photos, passer des appels, envoyer des SMS en masse et exfiltrer des données. 

Une fois que les acteurs malveillants accèdent à des applications sécurisées, ils utilisent des logiciels espions commerciaux pour intercepter les conversations. La disponibilité généralisée de ce logiciel espion est un défi. Bien que le Trésor américain ait imposé des sanctions à certains créateurs de logiciels espions, et que des entreprises comme WhatsApp aient intenté des poursuites contre des créateurs de logiciels espions, le marché est tout simplement trop vaste pour être contrôlé.

Faire face aux nouvelles menaces de communication en champ proche (NFC)

La recrudescence des infections par des logiciels espions commerciaux a également créé des  menaces de type « tap-and-steal » liées à la communication en champ proche (NFC).

En tout premier lieu, les pirates infectent les appareils ciblés et collectent des données clés. En utilisant ces informations, ils déploient des logiciels malveillants qui ne sont pas détectés par le système défensif et permettent l'installation de logiciels malveillants ciblant les systèmes d'exploitation mobiles et les autorisations des applications.

Du point de vue de l'utilisateur, les achats par NFC semblent normaux : ils cliquent, payent et vaquent à leurs occupations quotidiennes. En fait, le logiciel malveillant installé a piraté la transaction en permettant à la puce NFC installée de faire office d'extrémité d'un relais. À l'autre bout se trouve un second appareil contrôlé par un pirate situé à des kilomètres. Cela permet aux cybercriminels de contourner le principal avantage défensif du NFC : la distance. 

Généralement, les transactions NFC sont limitées à 10 cm ou moins. En transformant les appareils des utilisateurs en relais, les pirates éliminent ce contrôle de sécurité sans déclencher d'actions défensives. Pour les DSI et les RSSI chargés de gérer un volant d'appareils mobiles, cela crée un double problème : des messages détournés associés à des achats frauduleux qui sont difficiles à suivre et à arrêter.

Gestion des messages mixtes

Pour les réseaux d'entreprise, ces attaques par logiciel espion représentent une menace discrète mais persistante. Si des pirates peuvent accéder à des applications de messagerie sécurisée ou compromettre les réseaux NFC, les entreprises peuvent être victimes du vol de leurs adresses IP ou du transfert frauduleux de fonds.

Pour vous aider à gérer les messages mixtes, le guide des bonnes pratiques de la CISA en matière de communications mobiles recommande des mesures telles que :

Adoption d’une approche de type « zero trust » en matière de messagerie

Bien que les recommandations de la CISA suggèrent l'utilisation de services de messagerie chiffrés, elles mettent également en garde contre le fait de faire implicitement confiance à ces applications. Pour éviter toute compromission, les utilisateurs doivent vérifier l'authenticité des invitations de groupe, se méfier des messages d'alerte de sécurité inattendus et signaler toute activité suspecte via les canaux d'assistance de l'application. 

S'éloigner des SMS

Il est fortement recommander de ne pas utiliser les SMS, en particulier pour l’authentification multifacteur. Comme les SMS ne sont pas chiffrés, les messages d’authentification multifacteur peuvent être lus par les pirates, qui peuvent à leur tour utiliser des codes à usage unique pour accéder aux appareils et installer des logiciels espions.

Définissez un code PIN Telco

Comme le souligne la CISA, de nombreux fournisseurs de télécommunications permettent aux administrateurs de définir des codes PIN ou des codes d’accès supplémentaires pour les comptes mobiles, et doivent être fournis avant que les utilisateurs puissent effectuer des actions sensibles, telles que l’installation d’un nouveau logiciel ou le portage d’un numéro de téléphone. 

Résultat ? Les applications de messagerie chiffrées ne sont efficaces que si les entreprises savent exactement qui les utilise. Avec la montée des logiciels espions sophistiqués et des attaques par NFC, les entreprises doivent prioriser les activités de type « zero trust » qui réduisent la dépendance aux SMS et nécessitent une vérification supplémentaire pour autoriser les actions critiques. 

 

Billets associés :
Rapport Google : davantage de vulnérabilités zero-day impactent les entreprises
Rapport Google : davantage de vulnérabilités zero-day impactent les entreprises
 L’attaque de Notepad++ et les nouveaux risques liés à la chaîne d’approvisionnement
L’attaque de Notepad++ et les nouveaux risques liés à la chaîne d’approvisionnement
 Sandworm : l’équipe russe chargée de détruire les infrastructures mondiales
Sandworm : l’équipe russe chargée de détruire les infrastructures mondiales
 La technologie automobile, nouvelle surface de cyberattaque d’envergure
La technologie automobile, nouvelle surface de cyberattaque d’envergure
Rechercher dans le blog

Rapport 2025 sur les violations de la sécurité des e-mails

Principales conclusions concernant l’expérience et l’impact des failles de sécurité des e-mails sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Rapport d’informations de 2025 sur les clients des fournisseurs de services managés 

Panorama mondial sur les besoins et attentes des organisations vis-à-vis de leurs fournissuers de services managés en cybersécurité

Recevez le rapport d'enquête

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.