🔥 Les essentiels de cette actualité
- Le 20 mars 2025, le CERT-FR a lancé une alerte urgente : des ministres, hauts fonctionnaires et responsables régaliens sont activement ciblés via leurs messageries Signal et WhatsApp.
- Pas de logiciel espion sophistiqué ici — l’arme des attaquants est un simple QR code ou un faux message de support qui convainc la victime d’ouvrir elle-même la porte.
- Un compte compromis ne menace pas seulement les échanges passés : il devient un vecteur actif de manipulation, permettant d’envoyer de fausses consignes à tout un réseau.
- La France dispose pourtant d’outils souverains comme Tchap — alors pourquoi ses élites continuent-elles d’utiliser des applications grand public américaines pour leurs échanges sensibles ?
Le 20 mars 2026, le CERT-FR, le centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques, a publié une note d’alerte qui mérite bien davantage qu’un regard distrait. La menace décrite n’est ni théorique ni lointaine : elle frappe aujourd’hui des personnalités politiques, des hauts fonctionnaires et des cadres des administrations régaliennes. Son arme n’est pas un logiciel espion sophistiqué sorti des laboratoires d’une puissance étrangère. C’est un simple message. Un faux QR code. Un prétendu service client.
Ce que le CERT-FR documente, c’est une vague de compromissions visant les messageries instantanées, Signal et WhatsApp en tête, par des méthodes d’ingénierie sociale d’une redoutable efficacité. Un faux compte se fait passer pour le support officiel de l’application, contacte la cible, crée un sentiment d’urgence et lui soutire un code PIN ou un identifiant. Ou bien la victime reçoit une invitation apparemment banale à rejoindre un groupe, est redirigée vers une page contrôlée par l’attaquant et scanne un QR code qui lie discrètement son compte à un appareil ennemi. Dès lors, l’attaquant lit les échanges en temps réel, envoie des messages à la place de la victime et infiltre ses réseaux.
Une attaque qui contourne la technique par la psychologie
Ce qui rend cette menace particulièrement pernicieuse, c’est précisément sa banalité. Aucune faille logicielle spectaculaire, aucun exploit digne d’un film de cyberpunk : seulement l’exploitation de fonctionnalités parfaitement légitimes, les appareils liés, les codes de vérification et les QR codes de connexion, détournées au profit d’un accès frauduleux. L’attaque ne force pas la serrure : elle convainc l’occupant d’ouvrir lui-même la porte.
« Le support technique d’une messagerie n’envoie jamais légitimement de message direct dans l’application pour demander un code ou une validation. »
Cette mise en garde du CERT-FR résume à elle seule l’essentiel. Et pourtant, combien d’utilisateurs, y compris parmi les plus avertis, prendront le temps de s’en souvenir au moment précis où un message urgent et crédible apparaît sur leur écran ? La pression du moment, le vernis d’officialité, le sentiment de devoir agir vite : ce sont ces ressorts humains que les attaquants exploitent, et non des failles dans le code de Signal.
Le CERT-FR précise par ailleurs qu’une fois un compte compromis, l’attaquant peut aller plus loin encore : ajouter dans les groupes de discussion un faux compte usurpant l’identité de la victime, y entretenir une présence discrète et durable, lire les échanges futurs et distiller de fausses informations ou de fausses consignes. Un compte compromis ne menace donc pas seulement la confidentialité passée des échanges, il devient un vecteur actif de manipulation.
La souveraineté numérique ne se décrète pas, elle se pratique
Cette alerte soulève une question qui dépasse la seule cybersécurité technique. Que des responsables politiques, des fonctionnaires des secteurs régaliens, défense, diplomatie, renseignement et justice, conduisent une partie de leurs échanges sensibles sur des messageries grand public, américaines, soumises au droit extraterritorial américain, voilà un fait en soi préoccupant. Signal bénéficie d’une réputation méritée en matière de chiffrement de bout en bout. Mais une application aussi robuste soit-elle sur le plan cryptographique reste vulnérable dès lors que le compte lui-même est compromis par un acte humain.
Les autorités françaises ont investi depuis des années dans des outils souverains de communication sécurisée, on pense notamment à Tchap, la messagerie développée par l’État pour les agents publics. Pourtant, les faits rapportés par le CERT-FR montrent que des responsables continuent d’utiliser des applications grand public pour des échanges sensibles. Ce n’est pas un reproche à l’endroit des individus, mais un constat structurel : la culture de la sécurité numérique ne se décrète pas par une circulaire, elle s’instille par la formation, l’exemplarité et une exigence organisationnelle constante.
Le CERT-FR liste des réflexes simples et immédiatement applicables : définir un code PIN sur l’application, vérifier régulièrement les appareils associés au compte, ne jamais communiquer de code de validation par message, ne jamais scanner un QR code reçu dans une conversation et signaler sans délai tout comportement suspect au service informatique. Ces recommandations n’ont rien d’ésotérique. Elles relèvent du bon sens numérique élémentaire. Mais leur mise en œuvre suppose une attention que l’usage quotidien et souvent frénétique des messageries tend à éroder.
Ce que cette alerte dit en creux, c’est que la souveraineté numérique n’est pas seulement une question d’infrastructure ou de législation, c’est aussi une discipline collective, un ensemble de pratiques et de vigilances que chaque utilisateur, du ministre au fonctionnaire de base, doit intégrer comme une seconde nature. Les attaquants, eux, n’ont pas besoin de moyens considérables pour infiltrer les cercles décisionnels français. Un message bien formulé, un QR code glissé au bon moment et une porte s’entrouvre.
L’alerte du CERT-FR ne doit donc pas être lue comme une note technique de plus à classer dans une pile de circulaires. Elle est le reflet d’une réalité que la France, comme toutes les démocraties, doit affronter lucidement : ses institutions, ses élites et ses réseaux de décision sont exposés non seulement à des opérations techniques sophistiquées, mais aussi à des manipulations d’une simplicité déconcertante. Y répondre exige moins de génie que de rigueur.
IMPORTANT - À lire
Signal, WhatsApp, QR codes piégés : la souveraineté numérique française se joue sur des détails que notre revue papier mensuelle analyse en profondeur, loin de l'instantané.
Chaque mois, décryptages géopolitiques et analyses de fond pour comprendre les rapports de force qui façonnent la France — sur papier, sans algorithme. Abonnez-vous.
