Cyberattaque par phishing de haut niveau : Klöckner, Prien, Graichen touchés

5 min de lecture

La présidente du Bundestag Julia Klöckner, la ministre de l’Éducation Karin Prien et la ministre de la Construction Verena Hubertz ont été compromises par le phishing via Signal, car elles ont transmis un code de vérification à un contact supposé fiable. L’attaque d’usurpation de compte via Messenger n’a pas consisté en un simple clic sur un lien classique. Le procureur général Jens Rommel mène une enquête depuis février pour suspicion d’espionnage. Patrick Graichen, ancien secrétaire d’État chargé des infrastructures critiques, a publié parallèlement sur X un escroquerie basée sur l’échange d’argent contre des likes et a faussement accusé Ulf Poschardt, rédacteur en chef de Welt, de commercialisation de livres. Des vecteurs différents, mais une même leçon de gestion : la sensibilisation est mal placée au niveau stratégique.

Qu’est-ce que le vol de codes de vérification ? Lors d’une usurpation de compte via Signal ou WhatsApp, un attaquant enregistre le compte sur un appareil étranger. Le messager envoie alors un code de confirmation à six chiffres par SMS au véritable propriétaire. Quiconque transmet ce code à un contact supposé fiable cède ainsi son compte. Protection : une authentification à deux facteurs configurée dans les paramètres de Signal empêche l’usurpation même si le code est intercepté.

Ce qui s’est passé en avril

La vague Signal est en cours depuis février 2026. Selon les sources sécuritaires, environ 300 comptes sont concernés en Allemagne, avec d’autres cibles aux Pays-Bas. Le vecteur utilisé par ces trois femmes politiques est identique : une adresse de contact bien connue demande, via message direct, le code de vérification à 6 chiffres qui lui a été envoyé par SMS. Celui qui transmet ce code passe alors le contrôle d’accès au compte. Klöckner a été mise en cause publiquement mercredi, Prien et Hubertz ont été impliquées vendredi, dans le cadre des mêmes enquêtes.

Le procureur général Jens Rommel a ouvert une enquête dès février 2026 pour suspicion d’activité d’espionnage. Le BSI et l’Office fédéral de la sécurité de l’État situent l’acteur dans le cadre d’un programme d’espionnage contrôlé par l’État. Roderich Henrichmann, membre du Comité de contrôle parlementaire, a publiquement désigné la Russie comme source probable. Une attribution technique reste à confirmer, selon les informations disponibles au 28 avril 2026.

Le incident Graichen suit un autre schéma : une fausse accusation publique après la détection d’une escroquerie, sans compromission du compte. L’auteur avait capturé une conversation dans un groupe WhatsApp où des sommes d’argent étaient promises pour des likes sur les comptes d’influenceurs, et il avait réuni le rédacteur en chef mondial Ulf Poschardt, pensant que celui-ci était derrière cette demande. Ce mécanisme est depuis des années une étape incontournable dans chaque formation de sensibilisation : préfixe étranger, micro-rémunération, escalade progressive vers le paiement anticipé ou les données de compte. Graichen a été responsable pendant des années de l’infrastructure critique et de l’approvisionnement énergétique. La clé de voûte de la vague Signal ne se trouve pas dans le vecteur, mais dans le réflexe : rapide, mobile, sans contrôle intermédiaire.

Pourquoi la sensibilisation devient-elle moins efficace ?

Trois mécanismes expliquent ce constat. Au niveau C, la boîte de réception est traitée en intervalles de 30 secondes entre deux rendez-vous. Les formations de sensibilisation sont conçues pour une attention de 25 minutes, qui n’existe pas dans ce contexte. Le pré-filtre mis en place par les employés d’Office disparaît dès qu’une nouvelle arrive sur le smartphone personnel. C’est précisément là que Signal, WhatsApp et une part croissante des discussions quotidiennes politiques se déroulent. Ceux qui prennent un café avec la chancelière perçoivent inconsciemment le phénomène des scams courants comme un problème relevant de niveaux hiérarchiques plus bas.

Les équipes de sécurité ressentent depuis des années les conséquences opérationnelles de cette situation. Dans les tests internes de sensibilisation, les comptes de haut niveau sont rarement mieux protégés que la moyenne de l’effectif, et dans certaines industries, ils sont même significativement moins protégés. La pression de la communication, les canaux mobiles et les modèles de délégation augmentent le risque ; le bonus d’expérience ne suffit pas à compenser cela. En revanche, la réalité des achats va dans le sens inverse : les budgets destinés à la sensibilisation sont désormais consacrés à des formations en ligne obligatoires pour l’ensemble de l’effectif, car elles sont conformes aux exigences réglementaires. Les comptes coûteux, qui accèdent à des documents stratégiques, à des entretiens d’appel et à des propositions de cabinet, restent dans le même module standardisé.

Ce que les CISO doivent changer maintenant

La protection au niveau supérieur nécessite trois niveaux. La technologie sécurise le compte, le processus gère les appels intermédiaires, et le comportement entraîne le réflexe. Si l’on ne prend qu’un seul niveau, on déplace le risque plutôt que de le réduire.

Technologie : renforcer la sécurité des comptes au niveau des appareils

Le PIN à deux facteurs pour Signal et WhatsApp est obligatoire pour les comptes des 50 premiers utilisateurs, tout comme la liste des appareils associés dans les paramètres du compte. Une routine de vérification des sessions, menée chaque mois avec l’équipe d’Office, permet de vérifier quelles terminales sont actuellement connectées au compte. Si l’on découvre une entrée inconnue, c’est le premier indicateur avant toute notification officielle. Les profils MDM installés sur les smartphones professionnels permettent de détecter et de supprimer les configurations de messagerie risquées avant qu’elles ne deviennent un incident.

Processus : règles de rappel et escalade auprès des services de presse

Le code de vérification n’est pas transmis par messagerie, ni à personne, même pas à sa propre assistante ou au porte-parole de la presse. Toute personne qui pose une question est vérifiée via un rappel à un numéro connu. Dès qu’un membre du conseil d’administration commente un incident de sécurité sur un compte privé sur X ou LinkedIn, ou accuse une personne étrangère, l’affaire est soumise à la communication d’entreprise avant d’être publiée. Le principe des quatre yeux, appliqué sur les canaux privés, est organisationnellement inconfortable, mais, lorsqu’il s’agit de portée réelle, c’est la seule assurance contre les accusations erronées ayant une influence sur la presse.

Comportement : Coaching des 50 premiers comptes en tant qu’acquisition interne

Sensibiliser le conseil d’administration, le conseil de surveillance, les organes légalement représentatifs ainsi que leurs assistants directs. Un coaching individuel chaque trimestre, assuré par un pentester externe avec une démonstration en direct du vecteur d’attaque actuel sur un deuxième smartphone. Durée : 60 minutes ; contenus définis à l’avance en fonction de la situation actuelle du BSI. Coûts prévisibles, impact documentable lors de l’audit, argumentaire de conformité solide. Le coaching sans technologie ni processus reste un sujet de discussion — telle est la leçon tirée des trois politiciennes.

Questions fréquentes

Quel était le vecteur d’attaque lors de la vague Signal ?

Les attaquants ont contacté les cibles à partir d’un carnet d’adresses connu et ont demandé le code de vérification à six chiffres envoyé par SMS lors d’une nouvelle inscription sur un appareil étranger. Quiconque a transmis ce code a effectivement remis le compte. Une authentification à deux facteurs via une PIN dans les paramètres de Signal empêche précisément cette intrusion, car la connexion nécessite également la PIN choisie par l’utilisateur.

Qui se cache derrière ces attaques ?

Le procureur fédéral Jens Rommel mène depuis février 2026 une enquête pour suspicion d’espionnage. Le BSI et l’Office fédéral de la protection de la Constitution classent l’auteur comme probablement soutenu par un État. Roderich Henrichmann (PKGr) a désigné la Russie comme source probable. À ce jour, le 28 avril 2026, aucune attribution technique officielle n’a été rendue par le Parquet fédéral.

Pourquoi le tweet de Graichen a-t-il constitué un incident de sécurité ?

Le tweet contenait une capture d’écran d’une arnaque classique « argent contre likes » ainsi qu’une accusation mensongère à l’encontre du rédacteur en chef mondial Ulf Poschardt. Le vecteur technique diffère de celui de la vague Signal ; le compte n’était pas compromis. Ce qui unit ces deux cas, c’est leur structure réflexe : rapide, mobile, sans contrôle par un second regard. La conséquence en termes de réputation des prises de position publiques précipitées, sans présence de service de presse, constitue la leçon pour la gestion.

Quelle mesure immédiate recommander aux membres du conseil d’administration ?

Premièrement, activer la fonction de PIN à deux facteurs sur Signal et WhatsApp. Deuxièmement, rompre le réflexe de transmettre des codes via les messageries instantanées. Troisièmement, vérifier toute communication directe inhabituelle en rappelant un numéro connu, et jamais en répondant au canal initial.

Comment les CISO devraient-ils revoir leurs budgets de sensibilisation ?

Considérer les 50 comptes prioritaires comme une catégorie d’acquisition propre, avec un coaching individuel chaque trimestre et des démonstrations en direct des vecteurs d’attaque actuels. Les formations obligatoires en ligne pour l’ensemble du personnel restent pertinentes, mais ne remplacent pas une protection ciblée des comptes ayant accès stratégique ou à des appels d’offres. Technologie et processus doivent avancer de pair ; autrement, le coaching demeurera sans effet.

Photo : Chaddy / Wikimedia Commons (CC BY-SA 4.0)

À propos de l'auteur: Benedikt Langer

Plus d'articles de Benedikt Langer