Découverte fin mai 2026, une nouvelle campagne de phishing cible les utilisateurs de Signal dans le but de récupérer les clés de sauvegarde des victimes. La particularité de cette attaque, le message frauduleux est envoyé directement dans l'application mobile Signal. Une évolution qui montre que le phishing mobile s'infiltre désormais jusque dans les messageries chiffrées
Cette nouvelle campagne est loin d'être un cas isolé. Notre rapport de sécurité mobile 2026 avait révélé qu'un terminal mobile professionnel recevait en moyenne 288 tentatives de phishing par an, et que 45 % des utilisateurs cliquaient sur les liens reçus.
Le smishing (phishing par SMS) reste le vecteur le plus courant représentant 55 % du phishing mobile.
La tendance est à la diversification des canaux. Les attaques ne passent plus uniquement par email, elles s'infiltrent dans les SMS, les messageries instantanées, les QR codes. Et elles partagent un point commun de plus en plus marqué : les attaquants usurpent l'identité d'une figure de confiance, support technique, service public, institution financière, pour pousser leurs victimes à agir sans vérification.
L’attaque est simple, les attaquants envoient un message directement dans Signal depuis un compte se présentant comme "Signal Support". Le message affirme que les données de l'utilisateur risquent d'être perdues à cause d'un problème de synchronisation, et contient un lien redirigeant la victime vers une page externe à l'application, où elle est invitée à saisir sa clé de récupération .
C'est cette clé qui permet de déchiffrer les sauvegardes stockées sur les serveurs de Signal. Le vol de la clé est la première étape, les attaquants doivent ensuite prendre le contrôle du compte pour accéder aux sauvegardes. Une approche qui ne vise plus seulement les conversations en cours, mais aussi l'intégralité de l'historique archivé.
Les cibles identifiées incluraient des journalistes, des activistes, mais aussi des personnes en dehors des milieux militants, ce qui laisse penser à une campagne plus large que prévu.
Cette attaque contre Signal n'est pas isolée. En mars 2026, le FBI et le CISA avaient déjà publié un avis conjoint alertant sur des campagnes liées au renseignement russe ciblant Signal et WhatsApp, utilisant des QR codes et des demandes de liaison d'appareils. En Allemagne, des politiques, des militaires et des journalistes avaient été ciblés avec les mêmes techniques, et le CERT-EU a confirmé que la campagne s'étendait à plusieurs pays européens.
Signal rappelle qu'il ne contacte jamais ses utilisateurs en premier et ne demande jamais de clé de récupération, de code PIN ou de code d'enregistrement. Tout message se présentant comme "Signal Support" doit être ignoré.
Le mécanisme exploité contre Signal, se faire passer pour une figure d'autorité de confiance, est le même que celui utilisé à grande échelle pour imiter des services connus. Les attaquants exploitent le contexte (période fiscale, attente de colis, renouvellement administratif) pour déclencher une réaction immédiate.
En France, la Direction générale des finances publiques (DGFiP) a alerté sur la multiplication de SMS frauduleux imitant [Impots.gouv]. En avril 2026, en pleine période de déclaration de revenus, des messages menaçaient d'une majoration de 40 % pour des transactions crypto non déclarées. Parallèlement, une campagne de faux emails annonçant une "nouvelle carte Vitale 2026 disponible" redirigait les victimes vers un faux site Ameli pour récupérer leurs données personnelles puis leurs coordonnées bancaires. Les faux SMS de La Poste, Chronopost ou Colissimo demandant de régler des frais de douane restent également très fréquents.
Une observation partagée avec le Royaume-Uni. Le National Cyber Security Centre (NCSC) a signalé début 2026 une hausse significative des campagnes imitant HMRC (l'administration fiscale), Royal Mail, le NHS et la DVLA. Les pertes liées au phishing ont dépassé 1,2 milliard £ en 2025 selon UK Finance.
En mai 2026, une opération de smishing coordonnée imitant des portails gouvernementaux et des services postaux a également été découverte dans 19 pays en Europe, en Amérique et dans le Caucase
Face à des campagnes de phishing toujours plus nombreuses et sophistiquées, la sécurisation des terminaux mobiles est indispensable pour protéger les données d'entreprise.
Pradeo Mobile Threat Defense permet de protéger les terminaux mobiles contre tous les vecteurs de menaces, notamment le phishing. La solution détecte et bloque automatiquement tous les liens malveillants reçus sur le terminal mobile (SMS, messageries instantanées, QR codes…), empêchant l'utilisateur de cliquer avant que l'infection ou le vol de données ne se produise.