ENQUÊTE : Comment les hackers du Kremlin infiltrent Signal et WhatsApp à l’échelle mondiale

Le détournement d’une fonctionnalité de confiance

La méthode principale utilisée par les hackers russes est aussi simple que dévastatrice. Signal et WhatsApp offrent une fonctionnalité appelée « appareils liés ». Elle permet de connecter un ordinateur ou une tablette à son compte de messagerie en scannant un code QR. Une fonctionnalité pratique, pensée pour améliorer l’expérience utilisateur. Les espions du Kremlin l’ont transformée en porte dérobée. Le principe est d’une redoutable efficacité : convaincre la cible de scanner un QR code malveillant — présenté comme une invitation de groupe, un avertissement de sécurité, ou une demande de vérification. Une fois le code scanné, l’appareil de l’attaquant se retrouve secrètement lié au compte de la victime.

Les conséquences sont immédiates et totales. Chaque message reçu par la victime est dupliqué en temps réel sur l’appareil de l’espion. Chaque conversation de groupe, chaque échange confidentiel, chaque document partagé — tout est capté sans que la victime ne remarque quoi que ce soit. Le chiffrement de bout en bout reste techniquement intact. Le problème est ailleurs : l’attaquant est devenu un destinataire légitime aux yeux du système. Le cadenas est fermé à double tour. Mais l’espion est déjà à l’intérieur.

C’est peut-être la partie la plus troublante de toute cette affaire. Les hackers russes n’ont pas eu besoin de trouver une faille dans le chiffrement quantique de Signal — un chiffrement conçu pour résister même aux ordinateurs quantiques théoriques. Ils ont simplement exploité le fait que les êtres humains font confiance à ce qu’ils voient à l’écran. Un message qui ressemble à un avertissement officiel. Un QR code qui ressemble à une invitation légitime. La technologie la plus avancée du monde ne sert à rien quand la vulnérabilité, c’est nous.

L’ingénierie sociale comme arme de précision

La seconde méthode identifiée par les services néerlandais repose sur une usurpation d’identité sophistiquée. Les hackers se font passer pour l’équipe de support de Signal, envoyant des messages directement aux cibles à l’intérieur même de l’application. Le contenu varie : avertissement d’une activité suspecte détectée sur le compte, notification d’une fuite de données potentielle, alerte concernant une tentative d’accès non autorisé. Le ton est professionnel, urgent, convaincant. L’objectif est toujours le même : obtenir les codes de vérification et les codes PIN de la victime. Une fois ces informations en main, la prise de contrôle du compte est immédiate et complète.

Ce qui rend ces attaques particulièrement efficaces, c’est une particularité technique de Signal que peu d’utilisateurs connaissent. L’application vérifie les comptes par numéro de téléphone, mais ne l’affiche pas entre les utilisateurs. Cette opacité, conçue pour protéger la vie privée, crée paradoxalement un angle mort : lorsqu’un message arrive d’un prétendu « support Signal », il est impossible de vérifier instantanément si l’expéditeur est légitime. Les espions russes exploitent cette zone grise avec une précision militaire.

Les fonctionnaires néerlandais pris au piège

L’AIVD et le MIVD ont confirmé que des employés du gouvernement néerlandais figurent parmi les victimes avérées de cette campagne. Ce n’est pas une hypothèse. Ce n’est pas une projection de risque. Des fonctionnaires d’un pays membre fondateur de l’OTAN ont vu leurs communications privées compromises par des agents du renseignement russe. La directrice générale de l’AIVD, Simone Smit, n’a pas mâché ses mots : les cibles incluent des dignitaires gouvernementaux, du personnel militaire et des fonctionnaires civils. Les messages interceptés contenaient potentiellement des informations classifiées, des échanges stratégiques, des discussions sensibles sur la politique étrangère des Pays-Bas.

Et pourtant, malgré la gravité de ces révélations, l’annonce a été faite avec une retenue typiquement néerlandaise. Pas de conférence de presse spectaculaire. Pas de sanctions immédiates. Un avis de cybersécurité publié conjointement par les deux agences, expliquant méthodiquement comment identifier et répondre aux attaques. L’approche est technique, factuelle, presque clinique. Mais derrière cette froideur institutionnelle, la réalité est brûlante : les communications sécurisées d’un gouvernement occidental ont été percées à jour.

Je relis la déclaration de l’AIVD et je me demande : combien d’autres gouvernements sont dans la même situation sans le savoir? Les Pays-Bas ont eu le courage de l’admettre publiquement. Combien de capitales européennes ferment encore les yeux, espérant que le problème disparaîtra si on ne le nomme pas? Le silence n’est pas une stratégie de défense. C’est un privilège offert à l’attaquant.

Le champ de bataille numérique ukrainien

Sur le front ukrainien, la situation est incomparablement plus dramatique. Signal n’est pas un simple outil de communication pour les forces armées ukrainiennes — c’est un système nerveux tactique. Les coordonnées d’artillerie, les mouvements de troupes, les ordres opérationnels transitent par cette application. Le groupe APT44 (Sandworm) l’a compris et a adapté ses méthodes en conséquence. Ses agents travaillent directement avec les forces de première ligne russes pour récupérer les téléphones des soldats ukrainiens capturés ou tombés au combat. Chaque appareil récupéré est immédiatement exploité : le compte Signal est lié aux serveurs du GRU, transformant les conversations de l’unité en renseignement exploitable en temps réel.

Le groupe UNC4221 a poussé le cynisme encore plus loin en développant un kit de phishing imitant l’application Kropyva — un logiciel ukrainien de guidage d’artillerie. Imaginer la scène : un soldat reçoit ce qui ressemble à une mise à jour de son application de tir. Il clique. Son compte Signal est compromis. Les positions de son unité, les cibles planifiées, les mouvements tactiques — tout remonte instantanément vers Moscou. La frontière entre cyberguerre et guerre cinétique n’existe plus.

Quand les puissants oublient leur propre vulnérabilité

L’ironie est mordante. En 2025, la Maison-Blanche a été secouée par un scandale lorsque des hauts responsables américains ont accidentellement ajouté un journaliste à un groupe Signal où se discutaient les détails d’une opération militaire au Yémen. Des frappes aériennes, des plans tactiques, des informations classifiées — tout s’est retrouvé sous les yeux d’un reporter. L’incident a provoqué une onde de choc à Washington. Mais il a surtout révélé une vérité que les experts en cybersécurité martelaient depuis des années : la sécurité d’une application ne vaut que ce que vaut le comportement de ses utilisateurs.

Si les plus hauts responsables de la sécurité nationale américaine peuvent commettre une erreur aussi élémentaire, qu’est-ce qui protège un fonctionnaire néerlandais de niveau intermédiaire face à un message de phishing soigneusement conçu par des professionnels du GRU? La réponse, malheureusement, est : rien. Ou presque rien. La confiance aveugle dans la technologie a créé un sentiment d’invulnérabilité qui est précisément ce que les hackers russes exploitent. Le chiffrement protège le canal. Il ne protège pas les erreurs humaines.

Il y a quelque chose de profondément dérangeant dans cette séquence d’événements. D’un côté, des gouvernements qui recommandent Signal comme outil de communication sécurisée. De l’autre, des espions russes qui utilisent cette même recommandation comme vecteur d’attaque — parce qu’ils savent que leurs cibles font confiance à l’application. La confiance est devenue l’arme. Et personne ne sait comment la désarmer sans détruire ce qu’elle protège.

Un avertissement ignoré depuis des mois

Le scandale de la Maison-Blanche aurait dû servir d’électrochoc. Il n’en a rien été. Les gouvernements occidentaux ont continué à utiliser Signal pour leurs communications sensibles sans renforcer significativement la formation de leurs agents. Les autorités allemandes avaient pourtant émis un avertissement dès février 2026. Google avait publié un rapport détaillé sur les groupes APT russes ciblant Signal en 2025. Tous les signaux étaient au rouge. Tous les avertissements avaient été formulés. Et pourtant, quand le rapport néerlandais est tombé le 9 mars 2026, la surprise était encore palpable.

Cette séquence chronologique est elle-même un acte d’accusation. Février 2025 : Google identifie les menaces. Février 2026 : l’Allemagne avertit. Mars 2026 : les Pays-Bas confirment des victimes. Plus d’un an entre le premier signal d’alarme et la première confirmation publique de compromission. Plus d’un an pendant lequel les espions du Kremlin ont opéré en toute impunité, récoltant des messages confidentiels d’une demi-douzaine de gouvernements au minimum.

Un aveu mesuré face à une crise systémique

Signal a réagi aux révélations néerlandaises avec une déclaration soigneusement calibrée. L’organisation à but non lucratif a confirmé être « au courant des rapports récents concernant des attaques de phishing ciblées ayant entraîné la prise de contrôle de comptes de certains utilisateurs de Signal, y compris des responsables gouvernementaux et des journalistes ». La formulation « nous prenons cela très au sérieux » — la phrase la plus usée du vocabulaire corporatif en temps de crise — révèle les limites d’une organisation qui fait face à un adversaire étatique avec les moyens d’une ONG.

Le cœur du problème dépasse Signal. L’application n’a pas été piratée. Son chiffrement n’a pas été brisé. Ses serveurs n’ont pas été infiltrés. Ce qui a été compromis, c’est la relation de confiance entre l’utilisateur et l’interface. Et cette vulnérabilité est structurellement impossible à corriger par une simple mise à jour logicielle. On peut renforcer les avertissements lors de l’ajout d’un appareil lié. On peut ajouter des étapes de vérification. Mais tant que des humains utilisent des applications, il y aura des humains qui tomberont dans les pièges. La faille est anthropologique, pas technologique.

Signal se retrouve dans une position impossible. L’application fait exactement ce qu’elle promet : chiffrer les communications de bout en bout. Le problème, c’est que les espions du Kremlin ne s’attaquent pas à ce que Signal fait. Ils s’attaquent à ce que Signal ne peut pas faire — protéger les gens contre eux-mêmes. Et aucune ligne de code au monde ne résoudra cette équation.

Les mesures techniques face à une menace humaine

Meta, propriétaire de WhatsApp, n’a publié aucune déclaration officielle concernant la campagne russe au moment de la rédaction de cette enquête. Ce silence contraste avec la posture de Signal, qui a au moins reconnu le problème. WhatsApp, avec ses trois milliards d’utilisateurs actifs mensuels, représente une surface d’attaque colossale. La fonctionnalité d’appareils liés y existe également. Les mêmes techniques d’ingénierie sociale fonctionnent de la même manière. La seule différence est l’échelle : si les hackers russes parviennent à industrialiser cette méthode sur WhatsApp, le nombre de victimes potentielles n’a aucun plafond concevable.

Les recommandations de l’AIVD sont pragmatiques mais révélatrices de l’ampleur du défi. Surveiller les conversations de groupe pour détecter l’apparition de membres dupliqués — des comptes portant des noms identiques ou légèrement différents. Vérifier toute demande suspecte par un canal alternatif — téléphone, courriel. Activer la vérification en deux étapes. Des mesures de bon sens qui, dans un monde idéal, ne devraient pas être nécessaires. Mais nous ne vivons pas dans un monde idéal. Nous vivons dans un monde où les services secrets russes lisent les messages de diplomates néerlandais.

La mécanique du piège en trois actes

Chaque attaque suit un protocole méthodique. Premier acte : la reconnaissance. Les opérateurs du GRU identifient leur cible, collectent ses informations publiques, cartographient son réseau social professionnel. Deuxième acte : l’approche. Un message arrive dans l’application, provenant apparemment du support technique de Signal ou d’un contact connu. Le texte est urgentiste : « Activité suspecte détectée », « Vérification requise immédiatement », « Votre compte risque d’être désactivé ». Troisième acte : l’exécution. La victime clique, scanne, partage un code. En moins de trente secondes, son compte est compromis. Chaque message qu’elle recevra désormais sera lu simultanément à Moscou.

Ce qui distingue ces attaques des campagnes de phishing ordinaires, c’est leur niveau de personnalisation. Les messages ne sont pas envoyés en masse. Chaque cible reçoit un contenu adapté à son profil professionnel, à ses habitudes numériques, à ses interactions récentes. Un militaire ukrainien recevra une fausse notification de mise à jour de Kropyva. Un diplomate néerlandais recevra un avertissement concernant une prétendue fuite de données au sein de son ministère. Un journaliste recevra une invitation à un groupe de discussion exclusif sur un sujet qu’il couvre actuellement. Chaque piège est unique. Chaque piège est crédible.

Il y a une forme de respect pervers à reconnaître dans la méthodologie de ces attaques. Ces espions connaissent leurs cibles mieux que leurs cibles ne se connaissent elles-mêmes. Ils savent quelles applications elles utilisent, quels sujets les préoccupent, quels réflexes automatiques elles ont face à un message d’urgence. Et ils exploitent cette connaissance avec la précision d’un chirurgien. Un chirurgien qui travaille pour le Kremlin.

Les preuves numériques qui accablent

Le rapport Google Threat Intelligence de 2025 documente avec une précision forensique les infrastructures techniques utilisées par chaque groupe. UNC5792 modifie les URL d’invitation aux groupes Signal, remplaçant les liens légitimes par des redirections vers des pages de phishing hébergées sur des serveurs contrôlés par le GRU. UNC4221 opère un réseau de pages d’hameçonnage imitant l’interface de Kropyva, complétées de faux certificats de sécurité et de domaines similaires à ceux de l’armée ukrainienne. APT44 utilise des scripts automatisés pour lier en masse les comptes Signal récupérés sur les appareils capturés.

Chaque pièce à conviction a été documentée, archivée, analysée. Les adresses IP des serveurs d’attaque pointent vers des infrastructures connues du renseignement russe. Les patterns d’activité correspondent aux horaires de travail de Moscou. Les techniques utilisées portent la signature de groupes déjà identifiés dans des opérations antérieures contre l’Ukraine, les États-Unis, et plusieurs pays européens. Le dossier n’est pas circonstanciel. Il est accablant.

Les origines ukrainiennes d’une menace devenue mondiale

Tout a commencé sur le front ukrainien. Dès les premiers mois de l’invasion russe en février 2022, les services de cyberespionnage du GRU ont compris que Signal était devenu l’épine dorsale des communications militaires ukrainiennes. Les premières tentatives de compromission étaient rudimentaires — des SMS de phishing classiques, des liens malveillants envoyés par courriel. Mais les méthodes se sont rapidement sophistiquées. En 2023, les premiers cas d’exploitation de la fonctionnalité « appareils liés » ont été documentés. En 2024, la technique était industrialisée.

La transformation d’une opération tactique ciblant des militaires ukrainiens en une campagne stratégique mondiale marque un tournant. Les groupes APT russes ont compris que la méthode fonctionnait au-delà du champ de bataille. Si un soldat pouvait être piégé par un faux lien Kropyva, un diplomate pouvait être piégé par un faux avertissement de sécurité. Si un officier ukrainien pouvait perdre le contrôle de son compte, un fonctionnaire néerlandais le pouvait aussi. La technique est identique. Seul l’emballage change. Les victimes aussi.

L’escalade suit un schéma que les historiens du renseignement connaissent bien. Une technique développée pour un théâtre d’opérations spécifique est testée, perfectionnée, puis exportée vers d’autres cibles. Ce qui était une arme de guerre en Ukraine est devenu un outil d’espionnage global. Et chaque gouvernement qui utilise Signal ou WhatsApp pour ses communications sensibles devrait se poser une question simple : sommes-nous les prochains?

Le calendrier des alertes ignorées

Février 2025. Le Google Threat Intelligence Group publie un rapport intitulé « Signals of Trouble » identifiant UNC5792, UNC4221 et APT44 comme des menaces actives ciblant Signal. Le rapport est public, accessible à tous, détaillé et précis. Octobre 2025. Le CERT-UA met à jour ses alertes concernant le groupe UAC-0195. Février 2026. Les autorités allemandes émettent un avertissement officiel à l’attention de leurs fonctionnaires. Mars 2026. Les Pays-Bas confirment des compromissions actives. Plus d’un an de signaux d’alerte. Plus d’un an de rapports techniques. Plus d’un an pendant lequel la fenêtre d’opportunité des hackers russes est restée grande ouverte.

Cette chronologie soulève une question qui dépasse la cybersécurité. Pourquoi les gouvernements occidentaux mettent-ils autant de temps à réagir à des menaces documentées? Les preuves existaient. Les recommandations techniques étaient disponibles. Les solutions — même imparfaites — étaient identifiées. L’inertie bureaucratique a offert aux espions russes des mois supplémentaires d’accès aux communications les plus sensibles de l’Occident. Chaque jour de retard est un jour de récolte pour Moscou.

Le renseignement comme avantage stratégique décisif

L’interception des communications gouvernementales occidentales ne relève pas de la simple curiosité. C’est un avantage stratégique tangible pour la Russie. Connaître les discussions internes des pays membres de l’OTAN sur la fourniture d’armes à l’Ukraine. Anticiper les positions de négociation avant des sommets diplomatiques. Identifier les divergences entre alliés. Repérer les failles politiques exploitables. Chaque message intercepté est une pièce de puzzle qui, assemblée avec des milliers d’autres, offre une image complète des intentions occidentales.

Sur le terrain militaire ukrainien, les conséquences sont encore plus directes. Un message intercepté contenant des coordonnées d’artillerie peut provoquer une frappe préventive sur des positions ukrainiennes. Un mouvement de troupe révélé peut transformer une embuscade planifiée en piège mortel pour ceux qui l’avaient conçue. La cyberintelligence se traduit ici en avantage militaire concret — en vies sauvées d’un côté et perdues de l’autre. Le champ de bataille numérique et le champ de bataille physique ne sont plus deux espaces séparés. Ils sont devenus un seul et même front.

Chaque fois que nous parlons de « cyberattaques », le mot crée une distance. Une abstraction. Des uns et des zéros dans un écran. Mais derrière chaque message intercepté sur le front ukrainien, il y a une position révélée. Derrière chaque position révélée, il y a une frappe possible. Derrière chaque frappe, il y a des visages. Des prénoms. Des familles qui attendent. Le cyberespionnage n’est pas une guerre virtuelle. C’est une guerre réelle menée avec des outils invisibles.

La course aux alliances numériques

La révélation de cette campagne intervient dans un contexte de tensions croissantes entre l’OTAN et la Russie. Les Pays-Bas sont parmi les plus fervents soutiens de l’Ukraine. Ils ont fourni des chasseurs F-16, des systèmes de défense aérienne, des munitions. Le fait que leurs propres fonctionnaires aient été ciblés et compromis souligne que le soutien militaire à l’Ukraine a un coût que les capitales occidentales n’avaient peut-être pas pleinement anticipé : devenir soi-même une cible prioritaire du renseignement russe.

La dimension collective de cette menace pose la question de la cyberdéfense alliée. L’OTAN a développé des capacités cyber, mais la protection des applications de messagerie commerciales utilisées par les fonctionnaires échappe en grande partie à son périmètre. Chaque pays gère ses propres protocoles de sécurité numérique. Chaque ministère a ses propres règles. Il n’existe aucune norme commune contraignante sur l’utilisation de Signal ou WhatsApp pour les communications officielles. Et c’est dans cette fragmentation que les hackers russes trouvent leur terrain de jeu favori.

Un groupe aux antécédents dévastateurs

APT44, alias Sandworm, n’en est pas à son coup d’essai. Ce groupe, rattaché à l’unité 74455 du GRU, possède un casier judiciaire numérique qui donnerait des sueurs froides à n’importe quel expert en cybersécurité. En décembre 2015, Sandworm a provoqué une panne électrique massive dans l’ouest de l’Ukraine, plongeant 230 000 foyers dans le noir. En 2017, le groupe a lancé NotPetya, un logiciel destructeur déguisé en rançongiciel qui a causé plus de dix milliards de dollars de dégâts dans le monde entier, paralysant des multinationales, des hôpitaux, des infrastructures portuaires.

Le même groupe qui a mis hors service le réseau électrique ukrainien et déclenché la cyberattaque la plus coûteuse de l’histoire lit désormais les messages privés de diplomates occidentaux sur Signal. L’évolution est significative. Sandworm est passé des attaques destructrices — couper l’électricité, détruire des données — aux opérations de renseignement silencieuses. Moins spectaculaire. Infiniment plus dangereux. Parce qu’une bombe numérique fait du bruit. Un espion numérique ne fait rien. Il écoute.

La trajectoire de Sandworm raconte une histoire que nous refusons d’entendre. En 2015, ils coupaient la lumière. En 2017, ils paralysaient des entreprises sur cinq continents. En 2026, ils lisent nos messages. Chaque étape est une escalade. Chaque escalade est un test. Et chaque test sans conséquence est une invitation à aller plus loin. La question n’est plus de savoir ce que Sandworm est capable de faire. La question est de savoir ce qu’on est prêts à accepter qu’ils fassent.

Le lien entre cyberattaques passées et espionnage présent

Les connexions techniques entre les opérations passées de Sandworm et la campagne actuelle contre Signal sont documentées par les analystes de Google. Les mêmes serveurs d’infrastructure. Les mêmes techniques de persistance. Les mêmes signatures numériques. Il ne s’agit pas d’un groupe similaire ou d’une inspiration. Ce sont les mêmes opérateurs, appliquant des compétences affinées sur plus d’une décennie à un nouveau vecteur d’attaque. L’expertise accumulée en sabotage d’infrastructures a été reconvertie en capacité d’espionnage ciblé.

Cette continuité est importante. Elle signifie que la campagne contre Signal et WhatsApp bénéficie de ressources étatiques considérables — les mêmes qui financent les opérations cyber offensives les plus sophistiquées de la Russie. Ce n’est pas une opération improvisée. C’est une mission permanente, intégrée dans la doctrine militaire russe, dotée d’un budget, d’un personnel et d’objectifs stratégiques définis au plus haut niveau.

Des cibles de choix pour le renseignement russe

L’AIVD a explicitement mentionné les journalistes parmi les cibles probables de la campagne russe. Signal lui-même a confirmé que des journalistes figuraient parmi les victimes de prises de contrôle de comptes. Pour le renseignement russe, compromettre le compte Signal d’un journaliste d’investigation offre un double avantage. D’abord, accéder à ses sources confidentielles — identifier les lanceurs d’alerte, les informateurs, les dissidents qui communiquent avec la presse. Ensuite, surveiller les enquêtes en cours concernant la Russie, anticipant ainsi les révélations embarrassantes avant leur publication.

Les implications pour la liberté de la presse sont vertigineuses. Des milliers de journalistes dans le monde utilisent Signal pour communiquer avec leurs sources sensibles. C’est l’application recommandée par la quasi-totalité des organisations de protection des médias. Si cette confiance est minée — si les journalistes ne peuvent plus garantir à leurs sources que leurs échanges resteront confidentiels — c’est l’ensemble du mécanisme de reddition de comptes démocratique qui s’effondre. Plus de sources. Plus d’enquêtes. Plus de révélations. C’est exactement ce que Moscou recherche.

Quand un espion russe lit les messages d’un journaliste, ce n’est pas seulement la vie privée d’un individu qui est violée. C’est le droit du public à être informé qui est attaqué. Chaque source qui hésitera désormais à contacter un journaliste par Signal — par peur d’être identifiée par le Kremlin — représente une vérité qui ne sera jamais publiée. Les hackers du GRU ne ciblent pas seulement des comptes. Ils ciblent le droit de savoir.

Le silence complice des plateformes

Meta n’a toujours pas réagi publiquement. Signal a émis une déclaration minimaliste. La disproportion entre la gravité de la menace et la réponse des plateformes est troublante. WhatsApp, propriété d’une des entreprises les plus riches du monde, dispose de ressources colossales pour protéger ses utilisateurs. L’absence de communication sur cette campagne suggère soit une ignorance difficilement crédible, soit un calcul de communication visant à minimiser l’impact sur sa base d’utilisateurs. Dans les deux cas, les trois milliards d’utilisateurs de WhatsApp méritent mieux qu’un mur de silence.

Les organisations de la société civile, les ONG de défense des droits numériques, les chercheurs en cybersécurité exigent depuis des années une transparence accrue sur les attaques étatiques ciblant les applications de messagerie. Le rapport néerlandais a forcé une partie de cette transparence. Mais il ne devrait pas falloir qu’un service de renseignement publie un rapport pour que les utilisateurs sachent qu’ils sont ciblés. Les plateformes ont une responsabilité. Elles doivent l’assumer.

Les gestes immédiats que chaque utilisateur doit connaître

L’avis de cybersécurité publié conjointement par l’AIVD et le MIVD contient des recommandations concrètes. Premièrement, vérifier régulièrement la liste des appareils liés dans les paramètres de Signal et de WhatsApp. Tout appareil non reconnu doit être immédiatement déconnecté. Deuxièmement, activer la vérification en deux étapes — un code PIN supplémentaire qui empêche la prise de contrôle du compte même si le code de vérification est compromis. Troisièmement, ne jamais scanner un QR code reçu par message, quel que soit l’expéditeur apparent.

Quatrièmement, surveiller les conversations de groupe pour l’apparition de membres dupliqués — un indice que quelqu’un s’est infiltré en utilisant un compte compromis. Cinquièmement, vérifier par un canal alternatif — téléphone, courriel, rencontre en personne — toute demande inhabituelle reçue via Signal ou WhatsApp. Sixièmement, maintenir les applications systématiquement à jour pour bénéficier des derniers correctifs de sécurité. Ces mesures ne garantissent pas une protection absolue. Rien ne la garantit. Mais elles réduisent considérablement la surface d’attaque.

Je liste ces recommandations avec un mélange de devoir et de frustration. Parce que demander à chaque utilisateur de devenir son propre expert en cybersécurité pour contrer les espions du GRU, c’est comme demander à chaque piéton de porter un gilet pare-balles parce que la police n’arrive pas à arrêter les tireurs. La responsabilité est inversée. Ce sont les États et les plateformes qui doivent protéger les citoyens — pas l’inverse.

Les limites structurelles de la cyberdéfense individuelle

Les experts en cybersécurité sont unanimes : les mesures individuelles sont nécessaires mais insuffisantes. Le problème est systémique. Les gouvernements doivent établir des protocoles stricts interdisant l’utilisation de messageries commerciales pour les communications classifiées. Les forces armées doivent déployer des solutions souveraines de communication chiffrée, indépendantes des plateformes grand public. Les organisations de presse doivent diversifier leurs canaux sécurisés et former leurs journalistes aux techniques de contre-espionnage numérique.

La réalité opérationnelle est cependant complexe. Signal est utilisé par les militaires ukrainiens précisément parce qu’aucune alternative souveraine n’offre la même fiabilité, la même facilité d’utilisation et le même niveau de chiffrement. Remplacer Signal par un outil propriétaire prendrait des mois, nécessiterait une formation massive et créerait une période de transition pendant laquelle les communications seraient encore plus vulnérables. Les hackers du Kremlin le savent. Ils comptent dessus. Le piège est parfait.

L’absence de démenti comme confirmation tacite

Le ministère russe des Affaires étrangères n’a pas répondu aux demandes de commentaire formulées par plusieurs médias internationaux à la suite du rapport néerlandais. Ce silence est éloquent. Traditionnellement, la Russie nie systématiquement toute implication dans des cyberopérations — des démentis que personne ne croit, mais qui font partie du jeu diplomatique. L’absence même de démenti concernant cette campagne spécifique suggère soit une confiance absolue dans l’impossibilité d’une attribution juridiquement contraignante, soit une indifférence calculée face aux accusations occidentales.

Le Kremlin a longtemps maintenu que ses activités cyber étaient défensives. Que les accusations d’espionnage numérique étaient de la propagande occidentale. Que les hackers russes étaient des acteurs indépendants sans lien avec l’État. Le rapport néerlandais, combiné aux analyses de Google, du CERT-UA et des services allemands, rend ces dénégations insoutenables. Les preuves techniques convergent. Les attributions sont multiples et indépendantes. Le lien étatique est documenté jusqu’à l’unité militaire spécifique du GRU.

Le silence de Moscou est peut-être la réponse la plus honnête qu’on obtiendra jamais. Pas de démenti signifie pas de mensonge supplémentaire. Pas de justification signifie pas de mascarade. Pour une fois, l’absence de parole dit plus que tous les communiqués du monde. Le Kremlin n’a pas nié. Et dans le langage codé des services de renseignement, ne pas nier, c’est confirmer.

La doctrine cyber russe en filigrane

Cette campagne s’inscrit dans la doctrine de guerre informationnelle russe, théorisée depuis les années 2000 par les stratèges militaires de Moscou. Le concept de « guerre hybride » — la combinaison de moyens militaires conventionnels, d’opérations d’influence et de cyberopérations — est au cœur de la pensée stratégique russe. Le ciblage de Signal et WhatsApp n’est pas une initiative isolée. C’est une composante intégrée d’une stratégie plus large visant à déstabiliser les adversaires de la Russie par tous les moyens disponibles — y compris ceux que le droit international peine encore à catégoriser.

La Russie considère le cyberespace comme un domaine de confrontation permanente où les règles d’engagement sont fluides et les représailles improbables. Tant que les sanctions occidentales resteront inefficaces, tant que les réponses cyber resteront proportionnées, tant que les conséquences diplomatiques resteront symboliques, Moscou n’a aucune raison de cesser. Au contraire. Chaque opération réussie — chaque compte compromis, chaque message intercepté — renforce la conviction que cette stratégie est rentable. Le rapport coût-bénéfice est massivement en faveur de l’attaquant.

L’illusion de sécurité des applications grand public

L’affaire des hackers russes ciblant Signal et WhatsApp met à nu une contradiction fondamentale de notre époque. Nous avons confié nos communications les plus sensibles — gouvernementales, militaires, journalistiques — à des applications commerciales grand public. Des outils conçus pour que des adolescents échangent des photos sont utilisés par des chefs d’État pour coordonner des réponses à des crises internationales. La commodité a triomphé de la prudence. La facilité d’utilisation a primé sur la sécurité opérationnelle. Et personne n’a tiré la sonnette d’alarme.

Le chiffrement de bout en bout — celui que Signal vante comme résistant même aux ordinateurs quantiques théoriques — est devenu une berceuse. Un faux sentiment de sécurité qui a endormi la vigilance de millions d’utilisateurs. Le chiffrement protège le contenu en transit. Il ne protège pas les extrémités. Et les extrémités, ce sont les téléphones. Les êtres humains qui les tiennent. Les doigts qui cliquent sans réfléchir. Les yeux qui lisent un message d’urgence et obéissent par réflexe. Le maillon faible n’a jamais été le code. Le maillon faible, c’est nous.

Et pourtant, que fait-on? On continue. On envoie des messages classifiés sur Signal. On discute de frappes militaires sur WhatsApp. On échange des coordonnées de position sur une application qu’un adolescent utilise pour organiser ses soirées. Parce que c’est simple. Parce que c’est pratique. Parce qu’on a tous lu quelque part que le chiffrement était « incassable ». Et parce qu’on a tous oublié que la serrure la plus sophistiquée du monde ne sert à rien si quelqu’un vous convainc de lui donner la clé.

Vers une souveraineté numérique repensée

Le rapport néerlandais ouvre un débat que les démocraties occidentales repoussent depuis trop longtemps : celui de la souveraineté numérique. Faut-il développer des applications de messagerie souveraines pour les communications gouvernementales? Faut-il interdire Signal et WhatsApp dans les enceintes ministérielles? Faut-il créer une agence européenne de cyberdéfense spécifiquement chargée de protéger les communications des fonctionnaires de l’UE? Chaque question est légitime. Aucune réponse n’est simple. Mais l’immobilisme n’est plus une option.

La France a développé Tchap, une application de messagerie réservée aux agents de l’État. L’Allemagne utilise Wire pour certaines communications officielles. L’OTAN dispose de ses propres systèmes sécurisés. Mais ces solutions restent fragmentées, sous-utilisées et souvent moins ergonomiques que leurs alternatives commerciales. Le défi n’est pas technologique — il est culturel. Il faut convaincre des milliers de fonctionnaires, de militaires et de diplomates d’abandonner des applications qu’ils utilisent aussi dans leur vie privée pour des outils moins intuitifs mais plus sécurisés. C’est une bataille contre le confort. Et le confort gagne presque toujours.

Le bilan d’une enquête glaçante

Les faits sont là. Trois groupes APT russes — UNC5792, UNC4221 et APT44 (Sandworm) — mènent une campagne mondiale active contre les utilisateurs de Signal et WhatsApp. Des fonctionnaires néerlandais ont été compromis. Des militaires ukrainiens ont vu leurs communications tactiques interceptées en temps réel. Des journalistes ont perdu le contrôle de leurs comptes. Les services de renseignement de deux pays ont tiré la sonnette d’alarme. Google avait documenté la menace plus d’un an auparavant. La chronologie est accablante. La réponse collective est insuffisante.

Le chiffrement de bout en bout reste une protection essentielle. Mais il ne constitue pas une armure impénétrable. Les espions du Kremlin l’ont prouvé en contournant la technologie par l’ingénierie sociale — en exploitant non pas les machines, mais les êtres humains qui les utilisent. Le rapport néerlandais du 9 mars 2026 n’est pas seulement un avertissement. C’est un acte d’accusation contre l’inertie collective qui a permis à cette campagne de prospérer pendant plus d’un an.

Cette enquête se termine là où elle a commencé : avec une promesse brisée. Signal promettait la confidentialité. WhatsApp promettait la sécurité. Le chiffrement promettait l’inviolabilité. Et des espions russes lisent nos messages. Pas parce que la technologie a failli. Parce que nous avons cru que la technologie pouvait nous dispenser de la vigilance. C’est la leçon la plus dure de cette affaire. Et c’est peut-être la seule qui compte.

Ce qui reste quand le silence tombe

La guerre numérique que mène la Russie ne s’arrêtera pas avec ce rapport. Les hackers du GRU modifieront leurs méthodes, affineront leurs techniques, trouveront de nouveaux vecteurs d’attaque. C’est une course permanente entre l’épée et le bouclier. Mais reconnaître l’existence de la menace est le premier pas vers une défense efficace. L’AIVD et le MIVD ont eu le courage de la transparence. D’autres devront suivre. Car dans cette guerre invisible, le plus grand danger n’est pas l’espion qui vous écoute. C’est le gouvernement qui refuse de vous dire qu’on vous écoute.

Le monde a changé. Nos téléphones sont devenus des champs de bataille. Nos messages sont devenus des munitions. Et la frontière entre paix et guerre, entre vie privée et espace public, entre sécurité et vulnérabilité, s’est dissoute dans un QR code que quelqu’un, quelque part, a scanné sans réfléchir. Il ne reviendra pas en arrière. Nous non plus.

Signé Maxime Marquette