L'alerte choc des Pays-Bas : des diplomates et journalistes espionnés sur Signal
L'actualité cybernétique vient de connaître un séisme dont les répercussions se font sentir bien au-delà des cercles restreints de la sécurité nationale. Ce lundi 9 mars 2026, les Pays-Bas ont tiré la sonnette d'alarme : une campagne d'espionnage massive d'une ampleur inédite, orchestrée par des pirates soutenus par l'État russe, a compromis des centaines de comptes Signal et WhatsApp appartenant à des cibles de haute valeur. Loin d'être une simple attaque technique opportuniste, cette opération vise spécifiquement des diplomates, des journalistes et des militaires à travers le monde, soulignant une nouvelle réalité tendue de la guerre numérique.
Cependant, il est crucial de comprendre dès maintenant que cette intrusion ne résulte pas d'une faille de sécurité dans les applications elles-mêmes, mais bien de l'exploitation de la faiblesse humaine. Cette distinction est essentielle pour saisir les enjeux réels de cette affaire et, surtout, pour en tirer des leçons applicables à notre propre sécurité numérique quotidienne.
9 mars 2026 : quand les services secrets néerlandais sonnent l'alarme
L'Algemene Inlichtingen- en Veiligheidsdienst (AIVD) pour les affaires civiles et le Militaire Inlichtingen- en Veiligheidsdienst (MIVD) pour la défense ont officiellement confirmé une opération active. Des pirates informatiques opérant sous l'égide de l'État russe ont réussi à compromettre des comptes utilisateurs sur deux des applications de messagerie les plus populaires au monde. Ce qui marque cette annonce, c'est sa précision et son urgence. Les services néerlandais ne parlent pas de risques théoriques, mais de faits avérés : des employés du gouvernement néerlandais ont été effectivement piégés et leurs communications privées interceptées.
Cette prise de parole publique est rare dans le monde du renseignement, où le silence est souvent la règle d'or. En choisissant de rendre l'information publique, les Pays-Bas envoient un message clair : la menace est sérieuse, elle est actuelle, et elle dépasse largement leurs frontières nationales. Il s'agit d'un avertissement lancé à tous les alliés et à toutes les personnes susceptibles de détenir des informations sensibles. Cette campagne ne se limite pas aux Pays-Bas, elle est mondiale.
Des cibles triées sur le volet à travers le monde entier
Pour comprendre la gravité de la situation, il faut analyser le profil des victimes choisies par ces groupes de hackers. Les attaquants ne cherchent pas à voler les données bancaires de M. Tout-le-Monde ou à accéder aux photos de vacances d'un particulier lambda. Leur cible, c'est l'information stratégique. Les principales victimes identifiées sont des hauts fonctionnaires, des diplomates en poste à l'étranger, des militaires et des journalistes d'investigation.
Pourquoi ces profils spécifiques ? Pour la Russie, ces individus représentent des mines d'or informationnelles. Un diplomate négocie des traités et échange des câbles confidentiels sur la politique étrangère. Un journaliste d'investigation possède des sources et des documents qui peuvent révéler des opérations clandestines ou des scandales financiers. En compromettant leurs comptes, les pirates russes cherchent à anticiper les décisions politiques occidentales, à identifier les sources des journalistes ou même à mener des opérations de désinformation en usurpant l'identité de ces personnes de confiance. Les ingérences étrangères ne passent pas seulement par les réseaux sociaux, mais aussi par l'écoute directe.
Simone Smit (AIVD) coupe court à la panique
Face à une telle annonce, la réaction immédiate du public serait de paniquer et de remettre en question la fiabilité des applications de communication sécurisée. Pourtant, Simone Smit, directrice générale de l'AIVD, est intervenue pour apporter une nuance cruciale qui doit être parfaitement comprise. Elle a déclaré clairement que l'alerte ne concernait pas Signal ou WhatsApp dans leur ensemble, mais bien les comptes d'utilisateurs individuels.
Cette distinction est fondamentale. Cela signifie qu'il n'y a pas eu de « cassage » du chiffrement de bout en bout qui protège théoriquement les messages contre toute interception. Les mathématiques derrière le chiffrement tiennent bon. Le problème ne se situe pas dans la technologie elle-même, mais dans la manière dont les utilisateurs interagissent avec elle. Les pirates n'ont pas dû forcer une porte blindée numérique ; ils ont simplement convaincu les utilisateurs de leur ouvrir la porte.
Comment les pirates volent-ils vos données sur Signal et WhatsApp ?
Maintenant que le contexte est établi, il est impératif de décortiquer les méthodes utilisées. Comment ces comptes sont-ils compromis ? Il faut vulgariser les deux méthodes d'attaque identifiées sans tomber dans le jargon. Le lecteur doit comprendre que l'attaque exploite la confiance et l'urgence, pas une faille technique.
L'arnaque du chatbot imposteur réclamant votre code PIN
La première technique identifiée par les services de renseignement est aussi vieille qu'efficace : l'hameçonnage, ou phishing, mais adapté à l'univers de la sécurité numérique. Dans ce scénario, les pirates usurpent l'identité même de l'application de confiance, Signal. Imaginez recevoir un message, semble-t-il officiel, d'un prétendu chatbot d'assistance.
Ce faux robot informe l'utilisateur qu'un problème de sécurité critique a été détecté sur son compte, ou que des tentatives de connexion suspectes ont été observées. Pour protéger ses données, qui, selon le message, sont sur le point d'être supprimées ou compromises, l'utilisateur doit agir immédiatement. On lui demande alors de fournir le code de vérification à six chiffres qu'il vient tout juste de recevoir par SMS.
La majorité des gens, face à l'urgence d'une perte potentielle de données et confiants par le nom de l'application, réagissent par réflexe. Ils fournissent le code. Or, ce code de vérification n'est pas un mot de passe anodin. C'est la clé qui permet à quiconque le possède de transférer le compte Signal vers un nouvel appareil. Une fois ce code transmis au pirate, la victime perd instantanément le contrôle.
Le « quishing » ou l'arnaque du QR code
La seconde méthode, plus subtile et techniquement plus sournoise, est une forme d'hameçonnage par QR code, baptisée « quishing ». Cette stratégie, observée initialement sur le front ukrainien, a essaimé vers l'Europe occidentale. Plutôt que de voler un mot de passe, l'agresseur sollicite le scan d'un code QR. En usurpant l'identité d'un contact personnel ou d'une institution officielle, les pirates manipulent leurs victimes pour qu'elles scannent ce code dans le but de « vérifier leur identité » ou « sécuriser leur messagerie ».
Ce QR code malveillant exploite une fonctionnalité légitime et très utile de Signal : la liaison d'appareils. Normalement, cette fonction permet de connecter son compte Signal à un ordinateur ou une tablette pour discuter plus confortablement. Mais dans le cas de cette attaque, le QR code présenté à la victime ne lie pas son compte à son propre ordinateur, mais au serveur d'un appareil contrôlé par les pirates russes.
Dès que le scan est effectué, le compte de la victime est techniquement « jumelé » à celui des assaillants. Ce qui rend cette attaque particulièrement insidieuse, c'est qu'elle se base sur la confiance de l'utilisateur envers une technologie moderne : le scan d'un code QR est devenu un geste banal, perçu comme rapide et sûr, alors qu'il ouvre ici une porte dérobée majeure. Le cas du piratage d'un journaliste par Intellexa nous rappelle que les outils de surveillance évoluent constamment.
Ce que les pirates voient une fois connectés
Une fois que les pirates russes ont réussi à lier leur appareil à celui de la victime, que peuvent-ils réellement voir ? La réponse à cette question explique pourquoi cette attaque est si dévastatrice pour les cibles de choix que sont les diplomates et les journalistes. Contrairement à une attaque qui intercepterait les communications en transit, cette méthode donne accès à l'historique des conversations stockées sur le terminal de la victime.
Plus précisément, les assaillants peuvent télécharger et lire jusqu'aux 45 derniers jours de messages échangés par la victime. Imaginez le volume d'informations sensibles, de négociations diplomatiques, de préparations d'articles ou de discussions militaires qui peuvent être échangés en un mois et demi. C'est une mine d'or informationnelle. De plus, ils ont accès à la liste complète des contacts de la victime, ce qui leur permet de cartographier son réseau social et professionnel.
Le pire est que cette intrusion n'est pas statique. Comme l'appareil des pirates est maintenant « lié », ils peuvent espionner l'intégralité des communications entrantes et sortantes en direct et ce, discrètement. Il est crucial de préciser que le chiffrement de la plateforme n'est pas en cause ici : la faille résulte de la prise de contrôle « autorisée ». C'est comme si un cambrioleur vous avait volé vos clés : il ne déverrouille pas la porte par effraction, il l'ouvre simplement avec votre propre clé.
Sandworm (APT44) : les commandos numériques de la Russie démasqués
Derrière ces campagnes sophistiquées se cache un nom qui fait trembler le monde de la cybersécurité : Sandworm, également connu sous l'identifiant APT44. Ce n'est pas un groupe de pirates informatiques isolés cherchant à gagner de l'argent, mais une unité d'élite militaire russe directement liée au GRU.
De l'Ukraine aux Pays-Bas : le mode opératoire de Sandworm
Le mode opératoire déployé contre les comptes Signal et WhatsApp n'est pas nouveau. Il a en réalité été documenté et analysé l'année dernière, en 2025, par les analystes de Google Mandiant et le CERT-UA (l'équipe de réponse aux incidents informatiques d'Ukraine). À l'époque, Sandworm utilisait déjà ces techniques de « quishing » par QR code pour s'en prendre aux soldats ukrainiens.
Les attaquants avaient notamment diffusé de fausses invitations de groupe Signal ou créé des imitations malveillantes de logiciels utilisés par l'armée ukrainienne pour inciter les soldats à lier leur compte. Ce qui est frappant, c'est la continuité tactique. La même méthode qui a servi à espionner les soldats sur le front ukrainien est aujourd'hui utilisée contre les diplomates dans les capitales européennes. Cette transition de la guerre numérique purement militaire vers l'espionnage diplomatique classique montre la volonté de la Russie de recueillir un maximum de renseignements.
Pourquoi la Russie, la Chine et d'autres dominent le cyberespace
Pour replacer cette opération dans un contexte géopolitique plus large, il est utile de regarder les statistiques globales des opérations cyber sponsorisées par les États. Selon le Cyber Operations Tracker du Council on Foreign Relations, trente-quatre pays sont soupçonnés de sponsoriser des opérations cyber offensives depuis 2005.
Cependant, la majorité écrasante de ces activités est concentrée entre les mains de quelques acteurs majeurs. Les données indiquent que la Chine, la Russie, l'Iran et la Corée du Nord sont responsables d'environ 77 % de toutes les opérations suspectées. Ces quatre nations utilisent le cyberespace comme un vecteur de projection de puissance. La Russie, en particulier, est historiquement connue pour ses capacités de « cyber-offensive » destructrices. Cette alerte des Pays-Bas ne doit donc pas être vue comme un incident isolé, mais comme une manifestation tangible de cette guerre froide numérique.
L'alerte allemande de février 2026 : l'Europe dans le collimateur
Si l'alerte néerlandaise du 9 mars a fait la une de la presse internationale, elle n'est en réalité que le point d'orgue d'une série d'avertissements qui traversent l'Europe.
BfV et BSI sonnent l'alarme avant les Pays-Bas
Dès février 2026, c'est-à-dire quelques semaines seulement avant l'annonce de La Haye, les services de renseignement allemands avaient déjà tiré la sonnette d'alarme. Le BfV (Office fédéral de protection de la constitution) et le BSI (Office fédéral pour la sécurité des technologies de l'information) avaient publié un avertissement similaire.
L'Allemagne, qui assure la présidence tournante de certaines instances européennes et est un pilier de l'OTAN, a été une cible privilégiée de ces opérations. Les services allemands avaient identifié un « acteur cyber probablement contrôlé par un État » menant des campagnes agressives contre des militaires, des diplomates et des journalistes allemands et européens. Les techniques décrites par Berlin étaient identiques à celles détaillées plus tard par La Haye : tentative de vol de codes de vérification et manipulation de la fonction d'appareils liés.
Une campagne coordonnée aux portes des institutions européennes
La convergence de ces alertes allemande et néerlandaise laisse peu de place au doute : nous sommes face à une campagne coordonnée, méthodique, visant à infiltrer les cercles du pouvoir européen. Il ne s'agit pas d'attaques sporadiques, mais d'une offensive structurée qui cherche à pénétrer les corridors de la décision politique à Bruxelles, Berlin, La Haye et au-delà.
Cette offensive vise clairement à affaiblir la cohésion européenne en exploitant les failles humaines des individus qui la font fonctionner. En ayant accès aux communications privées des diplomates, les acteurs russes pourraient connaître les positions de négociation avant les réunions officielles, comprendre les divisions entre États membres, et tenter de les exploiter.
Signal et WhatsApp ont-ils vraiment été « piratés » ?
Il est impératif de démystifier une idée reçue qui circule souvent lors de ce type d'affaire : l'idée que « Signal a été piraté, donc le chiffrement ne sert à rien ». C'est faux.
Le chiffrement de bout en bout reste inviolé
Le chiffrement de bout en bout, qui garantit que seul l'expéditeur et le destinataire peuvent lire le contenu d'un message, est toujours mathématiquement valide et opérationnel. Si une tierce partie interceptait une communication entre deux utilisateurs sur le réseau, elle n'y verrait qu'une suite de caractères illisibles.
Pour accéder au contenu, les pirates ont utilisé une méthode beaucoup plus simple et redoutablement efficace : ils ont convaincu l'utilisateur de leur donner l'accès. C'est ce qu'on appelle l'attaque par « ingénierie sociale ». L'attaque ne vise pas la technologie, mais l'humain. C'est la différence entre essayer de forcer un coffre-fort à la masse et voler le code du propriétaire en se faisant passer pour le banquier. Vos applis trahissent-elles vos déplacements ? C'est une autre question, mais ici, la faille est comportementale.
La mise à jour de Signal du 18 février
Face à cette menace grandissante, les développeurs de Signal n'ont pas resté les bras croisés. Une mise à jour critique a été déployée dès le 18 février 2026, intégrant de nouvelles couches de protection pour les utilisateurs. Signal a reconnu avoir été averti par des chercheurs en sécurité de Google avant la publication officielle des rapports sur Sandworm.
En conséquence, l'application a renforcé son processus de liaison d'appareils. Désormais, lors de la connexion d'un nouvel appareil via un QR code, l'utilisateur doit passer par des étapes de vérification supplémentaires et plus explicites. L'interface affiche des avertissements plus clairs pour s'assurer que l'utilisateur comprend bien ce qu'il est en train de faire. Cependant, même la meilleure mise à jour logicielle ne peut empêcher un utilisateur déterminé à suivre les instructions d'un pirate.
La réponse de WhatsApp : la vigilance avant tout
De son côté, WhatsApp a adopté une posture axée sur l'éducation des utilisateurs. L'entreprise a réagi en rappelant une règle fondamentale de sécurité numérique : ne partagez jamais votre code de vérification à six chiffres. L'entreprise insiste sur le fait qu'elle ne vous demandera jamais ce code par téléphone, par e-mail ou via un chatbot.
Cette réponse simple met l'accent sur la vigilance plutôt que sur les modifications techniques drastiques. Cela nous ramène à l'essentiel : la sécurité en ligne est un partenariat entre le fournisseur de service qui sécurise la plateforme et l'utilisateur qui protège ses identifiants. L'avenir de Telegram est souvent débattu en termes de sécurité, mais les règles de base restent les mêmes.
« Suis-je concerné si je ne suis ni journaliste ni diplomate ? »
Pour évaluer votre propre risque, il est important de distinguer deux types de menaces souvent confondues dans les médias.
La différence entre Pegasus et les attaques par ingénierie sociale
Pegasus est un logiciel espion d'une complexité effroyable qui peut infecter un téléphone à distance, souvent sans que l'utilisateur n'ait besoin de cliquer sur quoi que ce soit, en exploitant des failles inconnues du système d'exploitation. Pegasus vise des cibles de très haut niveau : chefs d'État, activistes majeurs, journalistes de premier plan. Si vous n'êtes pas une personnalité publique de premier plan impliquée dans des affaires sensibles, il est extrêmement improbable que vous soyez ciblé par Pegasus.
Les attaques actuelles sur Signal et WhatsApp sont différentes. Elles sont techniquement plus simples car elles ne nécessitent pas de briser le système d'exploitation, mais elles reposent sur la manipulation. Si vous n'êtes pas un diplomate ou un militaire, la Russie n'a probablement pas l'intention de dépenser des ressources pour hacker votre compte personnel spécifiquement.
Pourquoi le citoyen lambda n'intéresse pas Sandworm
Le groupe Sandworm et les services de renseignement russes ont des objectifs géopolitiques. Ils ne cherchent pas à connaître vos recettes de cuisine ou vos projets de vacances. Leurs ressources sont concentrées sur des cibles qui peuvent apporter un avantage stratégique à la Russie.
Cependant, il ne faut pas pour autant devenir naïf. Si la technique est prouvée et efficace, elle peut être reprise par d'autres acteurs malveillants. Des escrocs ordinaires pourraient copier la méthode du « faux support Signal » pour voler votre compte et escroquer vos contacts en se faisant passer pour vous.
Ce que le vice-amiral Reesink (MIVD) veut que vous reteniez
Cette nuance est cruciale et a été soulignée par le vice-amiral Peter Reesink, directeur du MIVD. Il a tenu à rappeler une vérité professionnelle : les applications de chat comme Signal et WhatsApp, même si elles ont un chiffrement de bout en bout, ne sont pas des canaux pour les informations classifiées, confidentielles ou sensibles.
Ce message est un rappel adressé aux fonctionnaires et militaires eux-mêmes, mais nous concerne tous. Il existe des niveaux de sécurité adaptés à chaque niveau de sensibilité de l'information. Pour nous, citoyens, cela signifie que Signal et WhatsApp sont excellents pour protéger notre vie privée contre la curiosité des fournisseurs d'accès ou des regards indiscrets, mais ils ne sont pas infaillibles si l'on se fait manipuler.
Comment savoir si votre compte Signal ou WhatsApp est piraté ?
Si vous craignez d'avoir été victime de cette arnaque, ou simplement par précaution, il existe des moyens simples de vérifier l'intégrité de votre compte.
Vérifier les appareils connectés
Sur Signal et WhatsApp, ces deux applications offrent une fonctionnalité qui liste tous les appareils actuellement connectés à votre compte. C'est l'endroit où une attaque par « liaison d'appareils » laissera forcément une trace.
Sur Signal, rendez-vous dans les paramètres, puis cherchez l'option « Appareils liés ». Vous y verrez la liste de tous les téléphones, tablettes ou ordinateurs qui ont accès à votre compte. Si vous voyez un iPad que vous ne possédez pas, un ordinateur Windows à une date inconnue, ou un modèle de téléphone que vous n'avez jamais eu, c'est le signe qu'un intrus est présent. La procédure est identique sur WhatsApp. Le réflexe immédiat doit être de déconnecter manuellement tous les appareils que vous ne reconnaissez pas.
Les symptômes physiques d'un téléphone infecté
Au-delà de la vérification logicielle, certains signes physiques sur votre téléphone peuvent indiquer qu'il ne se comporte pas normalement. Bien que ces symptômes ne soient pas spécifiques à l'attaque Signal/WhatsApp, ils méritent votre attention s'ils apparaissent soudainement.
Les experts suggèrent de surveiller une batterie qui se décharge anormalement vite, un téléphone qui devient chaud sans raison apparente, ou une utilisation des données mobiles qui explose sans changement d'habitudes. Ces signes peuvent indiquer qu'une application malveillante tourne en arrière-plan, envoyant des données ou minant de la cryptomonnaie. Si votre téléphone présente tous ces symptômes en même temps, une réinstallation complète du système d'exploitation est souvent la seule solution pour être certain de supprimer toute trace de logiciel espion.
Ce que Signal vous alerte
Il est rassurant de savoir que les applications de messagerie intègrent des mécanismes d'alerte. Signal, par exemple, envoie automatiquement une notification à l'utilisateur principal chaque fois qu'un nouvel appareil tente de se lier au compte.
Cependant, il y a un piège. Si vous êtes actuellement en train de vous faire arnaquer, et que le pirate vous demande de scanner un QR code « pour vérifier votre sécurité », vous recevrez cette notification au moment même où vous effectuerez l'action. Si vous ne comprenez pas ce que signifie l'alerte, vous risquez de l'ignorer. Signal peut vous alerter, mais il ne peut pas lire dans vos intentions.
3 gestes barrières pour protéger votre compte dès aujourd'hui
Pour renforcer votre sécurité et vous prémunir contre ces attaques, voici trois actions concrètes et immédiates à mettre en place.
Activer le verrouillage d'inscription et la vérification en deux étapes
Pour ajouter des couches de sécurité à votre compte, il existe deux réglages essentiels : le verrouillage d'inscription sur Signal, et la vérification en deux étapes (2FA) sur WhatsApp.
Sur Signal, le verrouillage d'inscription demande de définir un code PIN personnel. Ce PIN sera demandé chaque fois que quelqu'un (ou vous-même) tentera de réenregistrer votre numéro de téléphone sur l'application. Même si un pirate vole votre code SMS de vérification, il ne pourra pas activer votre compte sans ce PIN secret. Sur WhatsApp, la vérification en deux étapes fonctionne sur le même principe. Prenez le temps de configurer ces options dès maintenant. Le piratage massif de FICOBA nous a malheureusement montré que lorsque les données sont exposées, la réaction est souvent trop tardive ; mieux vaut prévenir.
Jamais, jamais partager son code de vérification
C'est la règle d'or, la règle absolue : ne partagez jamais votre code de vérification SMS. Que ce code vous soit demandé par téléphone, par e-mail, ou via un chatbot prétendant être du support technique, la réponse doit toujours être « non ».
Il faut comprendre la nature de ce code : c'est la clé de votre compte numérique. Si vous le donnez à quelqu'un, vous lui donnez la propriété de votre identité sur l'application. Les vrais services de support n'ont JAMAIS besoin de vous demander ce code. Si un interlocuteur crée l'urgence en disant « donnez-moi le code tout de suite ou votre compte sera supprimé », c'est le signe caractéristique de l'arnaque.
Mettre à jour l'application et l'OS
Enfin, le dernier geste barrière est simple mais fondamental : maintenez vos logiciels à jour. Nous avons vu que Signal a réagi à la menace en déployant une mise à jour de sécurité le 18 février. Si vous ignorez les mises à jour de votre application, vous restez vulnérable.
Il en va de même pour le système d'exploitation de votre téléphone (Android ou iOS). Les failles de sécurité dans le système sont parfois exploitées par des spywares plus puissants. Les mises à jour système contiennent souvent des correctifs qui colmatent ces brèches. Activer les mises à jour automatiques est le moyen le plus simple de garantir une protection optimale sans avoir à y penser.
Conclusion
L'alerte lancée ce 9 mars 2026 par les services secrets néerlandais marque un tournant dans notre conscience collective de la cybersécurité. Elle nous rappelle brutalement que des États puissants comme la Russie investissent des ressources considérables pour espionner les communications privées, utilisant des méthodes qui contournent la technologie par la manipulation humaine.
Cependant, cette affaire nous enseigne aussi une leçon précieuse : le chiffrement fonctionne, mais il n'est pas infaillible si l'utilisateur se laisse tromper. Les ingénieurs de Signal et WhatsApp ont construit des coffres-forts solides, mais les pirates russes de Sandworm ont trouvé comment convaincre les utilisateurs de leur ouvrir la porte. Leur arme n'est pas le code informatique complexe, mais l'ingénierie sociale.
Face à cette réalité, notre meilleure défense reste la vigilance et l'éducation. Comprendre que personne ne vous demandera jamais votre code de vérification, vérifier régulièrement ses appareils liés et activer les options de sécurité sont des gestes simples mais efficaces. Que vous soyez un diplomate visé par une puissance étrangère ou un citoyen lambda soucieux de sa vie privée, les règles de base sont les mêmes. La sécurité numérique ne repose pas uniquement sur la technologie, mais sur notre capacité à dire « non » et à refuser de céder aux pressions.
