"Ça paraissait crédible": les comptes Telegram de députés et politiques piratés par des hackers

"On m'a envoyé un message avec un lien, expliquant qu'il fallait que je vois 'ce truc de dingue'. Ca paraissait crédible". Auprès de Tech&Co, une ancienne ministre macroniste explique avoir été victime d'un piratage de son compte Telegram, au même titre que plusieurs députés, comme l'a révélé le média Politico ce 20 novembre. Avec un processus particulièrement efficace.

"On reçoit le message avec le lien. On clique, mais on reste dans l'écosystème de Telegram. Si ça me renvoyait vers un autre site, je me serais méfiée" poursuit l'ancienne ministre.

Elle ajoute qu'après que les hackers ont mis la main sur son compte, elle a été renvoyée vers un site pornographique. Un procédé qui l'a rapidement alertée, la poussant à aussitôt changer son mot de passe.

Faux sentiment de confiance

Dans les faits, les victimes voient apparaître des messages de hameçonnage de proches proposant de voir "une photo de leur professeur de primaire", ou "des photos d'eux étant enfant", associés à un lien.

Après avoir cliqué sur le lien malveillant, elles voient s'afficher une simple fenêtre de connexion pour accéder aux prétendus contenus envoyés par le compte Telegram d'un ou d'une proche (lui-même piraté). Une fausse demande d'authentification, qui implique d'inscrire son numéro de téléphone et un code de sécurité, envoyé par l'application elle-même.

Comme l'explique Baptiste Robert, spécialiste en cybersécurité, auprès de Tech&Co, la méthode est bien connue et a déjà été documentée. Elle tire profit d'une fonction de Telegram permettant à des développeurs de créer des applications intégrées, en tirant profit des propres outils de sécurité de l'application créée par Pavel Durov.

Les hackers ont ainsi créé un petit logiciel fonctionnant dans Telegram, capable de se connecter au compte des utilisateurs inscrivant leur numéro de téléphone et le code de sécurité envoyé automatiquement par l'application. Le tout sans sortir du cadre de l'application, créant ainsi un faux sentiment de confiance pour les victimes.

Un mail d'alerte adressé aux députés

Si l'ex-ministre a été visée, c'est également le cas de plusieurs députés. Si bien que l'Assemblée nationale a diffusé un avertissement à tous les élus.

"Je vous informe qu'ont lieu en ce moment même des tentatives de compromission de compte sur la messagerie instantanée Telegram. L'attaque se présente sous la forme d'un message type vous enjoignant à cliquer sur un lien frauduleux qui vous demandera d’entrer votre numéro de téléphone. Si vous cliquez sur le lien ET entrez votre numéro de téléphone, votre compte Telegram sera immédiatement compromis et l’attaquant utilisera votre compte pour diffuser du contenu malveillant", explique ainsi le responsable de la Sécurité des Systèmes d’Information de l'Assemblée nationale, dans un mail consulté par Tech&Co.

Selon le site Politico, plusieurs députés ont mordu à l'hameçon, à l'image de la députée RN Laure Lavalette. Tous les élus visés sont vivement appelés à modifier leur code Telegram, activer la double authentification, et surtout à déconnecter l'ensemble des appareils suspects qui ont accès à leur compte Telegram.

Auprès de Tech&Co, le député Alexis Corbière (groupe Écologiste et Social) explique avoir été également victime du piratage, après avoir cliqué sur un lien envoyé par un journaliste politique - lui même piraté. Il précise n'avoir quant à lui même pas eu à entrer de numéro de téléphone ou de code de sécurité pour voir son compte compromis, et constater un accès illégitime depuis l'Argentine.

Accès potentiel à des informations sensibles

"Avec ce piratage, la victime a toujours accès à son compte. Elle peut donc ne pas s'en apercevoir" précise Baptiste Robert auprès de Tech&Co.

Pendant ce temps, les hackers ont un accès potentiel à l'ensemble des informations privées du compte, et donc les messages.

Toutefois, l'avertissement pourrait rapidement venir des proches de la victime: chaque compte piraté est aussitôt utilisé pour à son tour envoyer le message à ses contacts, afin d'amplifier la portée du piratage.

"Les noms de domaines utilisés pour cette arnaque existent depuis un moment. Il est donc difficile de savoir si cette attaque est ouvertement ciblée pour accéder à des informations de politiques" analyse Baptiste Robert, auprès de Tech&Co.

Car avec ce processus de transmission des messages à l'ensemble des contacts, le nombre de victimes dans un même milieu professionnel peut rapidement augmenter, sans que celui-ci soit particulièrement visé. De façon générale, ce type de piratage peut être mis en place pour détourner des comptes Telegram existant, pour ensuite diffuser des arnaques.