300 comptes Signal craqués en deux mois, dont celui de la numéro deux du Bundestag. La messagerie vendue comme la plus sûre du monde n’a pas cédé : ses utilisateurs ont ouvert la porte eux-mêmes.
La faille, ce n’est pas Signal, c’est le code PIN
Le scénario tient en quelques secondes. Un député reçoit, sur Signal, un message qui ressemble à s’y méprendre à une notification officielle de l’application. Logo bleu, ton sec, demande d’authentification. On lui dit qu’une activité suspecte a été détectée sur son compte et qu’il doit confirmer son code PIN de sécurité pour éviter une suspension. Il le tape. Il vient de perdre la main sur sa propre messagerie.
Ce PIN, dans l’architecture de Signal, protège le transfert du compte vers un nouvel appareil. Une fois entre les mains d’un attaquant, il permet de déplacer l’identité numérique de la victime sur un téléphone qu’elle ne possède pas, de lire l’historique reconstruit et d’écrire au nom de la cible auprès de ses contacts. Rien n’a été forcé, rien n’a été décrypté : l’intrus s’est glissé dans le siège du passager.
Julia Klöckner, numéro deux de l’État, est tombée
La présidente du Bundestag, Julia Klöckner (CDU), figure parmi les cibles confirmées. Protocolairement, elle est la deuxième personnalité de la République fédérale, derrière le président Frank-Walter Steinmeier. Selon Der Spiegel, l’un des groupes de discussion dont elle faisait partie réunissait des membres du présidium de la CDU, dont le chancelier Friedrich Merz. Une expertise du smartphone de Merz n’a rien révélé d’anormal, contrairement à celui de Klöckner, rapporte t-online.
Le SPD, principal partenaire de coalition, a reconnu vendredi que plusieurs de ses députés avaient été piégés de la même manière. Die Linke a fait le même constat dans l’après-midi. Au total, « pratiquement toutes les factions » du Bundestag sont touchées à des degrés divers, écrit l’hebdomadaire allemand. La contagion dépasse le Parlement : milieux diplomatiques, armée, rédactions, certains ministères. Aucun périmètre officiel n’a encore été publié, mais le renseignement intérieur allemand (BfV) évoque au moins 300 utilisateurs affectés dans le pays.
Karlsruhe enquête depuis février, en silence
L’affaire n’est pas nouvelle. Elle était cachée. Le parquet fédéral de Karlsruhe, qui traite les dossiers d’espionnage et de terrorisme en Allemagne, a ouvert une procédure pour « suspicion d’espionnage » à la mi-février. L’enquête, toujours ouverte, parle d’« opération encore en cours » et désigne « probablement un acteur étatique ». Le renseignement militaire néerlandais, sollicité par Berlin sur l’attribution technique, a pointé, selon plusieurs sources citées par franceinfo et Der Spiegel, des « acteurs étatiques russes ».
Le Kremlin a, comme souvent, rejeté les accusations. Berlin, lui, les expose au grand jour pour la première fois. C’est la présidente Klöckner qui a dévoilé publiquement l’incident, vendredi matin, devant ses pairs. Un responsable parlementaire, cité par plusieurs agences, a qualifié l’étendue du piratage d’« extrêmement préoccupante ».
Signal, mythe et réalité d’une messagerie « inviolable »
Signal s’est imposée depuis dix ans comme la messagerie des paranoïaques assumés. Son protocole de chiffrement, ouvert et audité, équipe aussi WhatsApp sous le capot. Edward Snowden répète depuis 2015 qu’il l’utilise tous les jours. Les militants des droits humains, les avocats, les journalistes d’investigation l’ont adoptée. La Commission européenne l’a recommandée à ses cadres dès 2020. Le Bundestag en fait un outil de travail pour les échanges sensibles entre groupes parlementaires.
Le problème est ailleurs. Le chiffrement de bout en bout protège les messages en transit, pas l’humain qui tient le téléphone. Quand l’attaquant obtient le PIN de récupération par ingénierie sociale, il contourne le verrou sans le casser. Le cabinet Security Affairs, qui a analysé la campagne, décrit une opération industrielle : faux supports techniques, pages de connexion clonées, messages rédigés en allemand sans fautes, envoyés aux bonnes personnes au bon moment. Le niveau de préparation, note le cabinet, correspond à une cellule disposant de temps, d’argent et de renseignement préalable.
Berlin, cible permanente depuis 2015
L’Allemagne accuse la Russie depuis dix ans de mener une campagne continue de cyberattaques, de sabotage et d’ingérence. Le premier épisode retentissant remonte à 2015, quand le groupe APT28 avait exfiltré 16 gigaoctets de données du Bundestag, dont des courriels d’Angela Merkel. Depuis, Berlin est devenu, avec les États baltes, la cible européenne privilégiée. La guerre en Ukraine a fait monter d’un cran la pression : l’Allemagne est le premier fournisseur d’aide militaire à Kiev sur le continent, loin devant la France.
Depuis 2024, le BfV documente une hausse continue des tentatives d’hameçonnage visant personnalités politiques, journalistes et chercheurs. Ce qui distingue l’épisode Signal, c’est la plate-forme choisie. Viser une application réputée imprenable, c’est envoyer un signal politique autant que technique : aucun outil n’est à l’abri si la personne qui le tient peut être trompée.
Ce que changent concrètement ces 300 comptes
Trois questions restent ouvertes. La première : quelles conversations ont été lues. Le parquet fédéral refuse de détailler, mais les groupes touchés recoupent des sujets sensibles : soutien à l’Ukraine, coopération atlantique, positionnement allemand sur l’Iran. La deuxième : qui a envoyé quoi au nom des députés piratés. Le mode d’intrusion permettait à l’attaquant d’écrire depuis le compte d’une cible à ses contacts, donc d’orienter une discussion, voire d’obtenir de nouveaux contacts par ricochet. La troisième : pendant combien de temps. Deux mois sont documentés, l’origine exacte de la campagne reste floue.
Le Bundestag doit décider, la semaine prochaine, s’il maintient Signal comme outil de coordination interne ou s’il bascule sur une solution souveraine. Plusieurs élus plaident pour un retour aux serveurs chiffrés du Parlement. D’autres rappellent qu’aucun système ne résiste à un utilisateur fatigué qui tape son PIN sans lire le message. Le choix ne sera pas technique. Il sera politique.
