Le 20 mars 2026, le C4, la cellule de crise cyber réunissant les principales agences françaises de sécurité (ANSSI, DGSE, DGSI, ComCyber), a publié une note d’alerte sur une recrudescence des campagnes d’attaques ciblant les comptes de messageries instantanées. Signal et WhatsApp sont particulièrement visés. La messagerie française Olvid, certifiée par l’ANSSI, a répondu en expliquant pourquoi son architecture la protège structurellement contre ces attaques.
Le contexte : des attaques liées au Kremlin ciblent Signal et WhatsApp
Depuis février 2026, plusieurs agences européennes de sécurité ont lancé des alertes successives. Les services allemands (BSI et BfV) ont été les premiers à signaler des attaques visant Signal chez des responsables politiques et militaires. Le 9 mars, les services de renseignement néerlandais (AIVD et MIVD) ont confirmé la menace, attribuant ces opérations à des acteurs directement liés au Kremlin.
En France, le C4 a documenté un mode opératoire précis : un faux compte se fait passer pour le service d’assistance officiel de Signal et contacte la victime directement dans l’application. Le prétexte est un problème de sécurité urgent nécessitant la communication d’un code reçu par SMS. Une fois le compte compromis, l’attaquant peut créer un faux profil imitant celui de la victime pour infiltrer ses groupes de discussion et accéder à l’historique des conversations.
L’architecture d’Olvid : une protection par conception
Olvid, seule messagerie à avoir obtenu la certification de sécurité de premier niveau (CSPN) délivrée par l’ANSSI, revendique une architecture qui rend ces attaques structurellement impossibles. Contrairement à Signal ou WhatsApp, Olvid ne repose pas sur un annuaire centralisé lié à un numéro de téléphone. Cette absence d’annuaire élimine un vecteur d’attaque fondamental : l’usurpation d’identité via le numéro de téléphone.
Sur la question de l’appairage des appareils, Olvid a fait un choix délibérément plus restrictif que ses concurrents. Pour connecter un nouvel appareil à un compte, il est impossible de scanner un QR code reçu par message. L’utilisateur doit lancer la procédure depuis l’application, saisir un code à 8 chiffres affiché sur le premier appareil, puis le second appareil affiche 8 nouveaux codes à entrer en retour. Ce double mécanisme de vérification empêche toute prise de contrôle à distance.
Les implications pour la protection des données personnelles
Cette alerte soulève des questions fondamentales au regard du RGPD. L’article 32 impose aux responsables de traitement de mettre en place des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque. Le choix d’un outil de messagerie pour des communications professionnelles contenant des données personnelles relève directement de cette obligation.
Pour les organismes traitant des données sensibles, notamment dans les secteurs soumis à la directive NIS2 (administrations, santé, énergie, transports), le choix d’une messagerie certifiée par l’ANSSI représente une mesure de sécurité pertinente et documentable dans le cadre d’une analyse de risques.
Conseils pratiques pour sécuriser vos messageries
Quelle que soit la messagerie utilisée, plusieurs mesures de protection s’imposent face à cette vague d’attaques :
Ne communiquez jamais de code de vérification reçu par SMS à un interlocuteur, même s’il se présente comme le support technique de votre messagerie. Activez le verrouillage par NIP (code PIN) de votre compte Signal si vous l’utilisez, et vérifiez régulièrement la liste des appareils connectés à votre compte dans les paramètres de l’application.
Pour les organisations manipulant des données personnelles sensibles, évaluez le niveau de sécurité de vos outils de communication au regard de vos obligations RGPD. Documentez ce choix dans votre registre des traitements et, si nécessaire, réalisez une analyse d’impact (AIPD) conformément à l’article 35 du RGPD lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées.
Sensibilisez vos collaborateurs aux techniques de « social engineering » utilisées pour compromettre les comptes de messagerie, en particulier le « voice phishing » et les faux messages de support technique.
Source : Note d’alerte C4 du 20 mars 2026, Certification ANSSI-CSPN Olvid
