Lors d'une attaque de phishing ciblée le 6 mars 2026, un député fédéral australien et trois collaborateurs ont vu leurs comptes WhatsApp personnels compromis. Les attaquants ont utilisé une méthode simple mais efficace : ils ont d'abord déclenché des codes de vérification légitimes sur les appareils des victimes, puis ont contacté les victimes en se faisant passer pour des contacts de confiance pour leur demander ces codes. Une fois les codes fournis, les pirates ont lié les comptes à leurs propres appareils, obtenant ainsi un contrôle total des communications. La brèche a été confirmée lors d'une audience du Sénat le 25 mai, où des responsables du Département des services parlementaires (DPS) ont détaillé la progression de l'incident.
Le directeur de l'information du DPS, Mike Webb, a expliqué que le schéma de l'attaque indiquait un effort coordonné par un acteur étatique étranger. Les comptes compromis étaient personnels mais ont également été consultés sur des appareils gérés par le DPS, suscitant des inquiétudes quant aux vulnérabilités multiplateformes. L'objectif des attaquants était la prise de contrôle des comptes, ce qu'ils ont réussi dans les quatre cas. Le DPS a immédiatement informé la Direction des signaux australienne (ASD) et a temporairement bloqué l'accès à WhatsApp Web sur le réseau parlementaire du 9 au 16 mars pour contenir la propagation potentielle.
L'attaque reposait fortement sur l'ingénierie sociale plutôt que sur des exploits techniques sophistiqués. Le phishing reste l'une des menaces cyber les plus efficaces car il cible la psychologie humaine. Les pirates se sont fait passer pour des contacts de confiance — peut-être même d'autres parlementaires dont les comptes étaient déjà compromis — pour demander le code de vérification. Cette approche basée sur la confiance a rendu les victimes plus susceptibles de se conformer. Une fois que l'attaquant a saisi le code, WhatsApp a automatiquement lié son appareil, lui donnant un accès complet aux messages, médias et listes de contacts.
Cette méthode reflète les tactiques contre lesquelles les agences de cybersécurité du monde entier mettent en garde. En 2025, le Centre national de cybersécurité du Royaume-Uni et l'Agence de cybersécurité et de sécurité des infrastructures des États-Unis ont publié des avis détaillant des techniques de phishing identiques ciblant les utilisateurs de WhatsApp. L'attaque australienne suggère que ces acteurs de menace sont devenus plus agressifs, ciblant spécifiquement des personnalités politiques de haut rang. Le responsable du DPS a noté que les attaquants semblaient avoir une connaissance préalable des réseaux des victimes, rendant les messages de phishing très convaincants.
Après la découverte de la brèche, le DPS a agi rapidement pour isoler la menace. Ils ont bloqué les navigateurs WhatsApp Web sur le réseau parlementaire — une mesure qui a perturbé le travail mais a empêché d'autres compromissions de comptes. Les personnes concernées ont reçu un soutien immédiat, et l'ASD a mené une enquête médico-légale. Après l'incident, le DPS a exhorté tous les parlementaires et collaborateurs à revoir leurs paramètres de sécurité, à activer l'authentification à deux facteurs et à être prudents lorsqu'ils partagent des codes de vérification ou des informations sensibles via des applications de messagerie.
Cet incident s'inscrit dans un schéma plus large de cyberattaques ciblant les entités gouvernementales australiennes. Entre juillet 2025 et mars 2026, le DPS a détecté 46 incidents de logiciels malveillants, près de 20 000 tentatives de phishing et 1 458 alertes cyber. Le volume souligne la menace persistante qui pèse sur les bureaux politiques. Les responsables ont souligné que si les applications de messagerie comme WhatsApp offrent de la commodité, elles n'ont pas été conçues pour des communications hautement sensibles. La brèche renforce la nécessité de protocoles de cybersécurité robustes et d'une formation continue du personnel.
L'incident de piratage met en évidence les vulnérabilités critiques liées à l'utilisation d'appareils personnels dans des environnements sécurisés. Les personnalités politiques et leurs collaborateurs doivent adopter un état d'esprit axé sur la sécurité, en traitant toute demande inattendue de codes de vérification avec suspicion. La mise en œuvre de méthodes d'authentification résistantes au phishing, comme les clés de sécurité matérielles, peut ajouter une couche de protection supplémentaire. Des exercices de cybersécurité réguliers peuvent aider le personnel à reconnaître et signaler les tentatives de phishing avant qu'elles ne réussissent. Alors que les menaces évoluent, l'adaptation continue et la vigilance restent la meilleure défense, garantissant que même les canaux de communication les plus fiables ne deviennent pas des passerelles pour des adversaires étrangers.