C’est à partir de faux QR codes que les Russes sont parvenus à espionner les conversations entre militaires ukrainiens, sur la messagerie chiffrée Signal.
La guerre en Ukraine se déroule aussi dans le silence sur les champs de bataille cyber. Parmi l’arsenal numérique figurent le cyberespionnage et toutes les techniques d’hameçonnagehameçonnage pour parvenir à infiltrer les systèmes d’information de l’ennemi. La dernière en date, employée par les forces russes, repose sur le quishing : il s’agit d’une technique de hameçonnage qui repose sur de faux QR code scannés par un smartphone. L’objectif des cyberattaquants consistait à intercepter les communications échangées par les soldats ukrainiens via la messageriemessagerie chiffrée Signal.
Cette campagne de cyberespionnage a été détectée et détaillée dans un rapport publié dernièrement par le GoogleGoogle Threat IntelligenceIntelligence Group. Le groupe de hackers qui a mené la manœuvre a été identifié sous l’appellation APT44, déjà connu sous le nom de Sandworm. Pour berner les soldats ukrainiens, ce n’est pas n’importe quels QR codes qui ont servi à les appâter. Il s’agit précisément du QR code normalement généré par Signal pour permettre de lier un ordinateur ou une tablette à un compte Signal existant. Une solution pratique pour utiliser plus confortablement l’applicationapplication à partir d’un grand écran et avec un clavier. Sauf que dans le cas présent, l’appareil lié en question était celui des hackers russes. Ils pouvaient ainsi lire immédiatement les messages reçus sur un compte de soldat ukrainien.
Don d’ubiquité chez les Russes
Pour parvenir à ce résultat, encore fallait-il que le soldat ukrainien ciblé ait la nécessité de scanner le code QR malicieux. Pour cela, un groupe de hackers russes ont diffusé des faux QR codes sous la forme de fausses invitations à des groupes Signal, suffisamment crédibles pour que les soldats les scannent. Pour plus d’efficacité, un autre groupe de hackers – connu sous l’appellation UNC4221 – a créé une application qui imitait un outil de cartographie du nom de Kropyva utilisé par les forces ukrainiennes. Cette fausse appli demandait aux soldats de scanner un QR code pour pouvoir y lier leur compte Signal.
Si la messagerie chiffrée a été précisément ciblée, c’est parce qu’elle est largement utilisée par l’armée ukrainienne. Toutefois, les cyberespions russes ont certainement mené la même campagne sur d’autres messageries populaires, plus ou moins chiffrées et sécurisées, comme WhatsAppWhatsApp et Telegram. Rappelons que cette dernière n’est d’ailleurs pas chiffrée par défaut.
Le groupe de recherche de Google a collaboré avec les équipes de Signal pour que la messagerie puisse corriger ce type de détournement. Depuis, une mise à jour est disponible pour renforcer la sécurité de Signal. Désormais, en plus du QR code, d’autres étapes de validation sont nécessaires pour authentifier le jumelage avec un nouvel appareil.
