Netcrook Logo
👤 LOGICFALCON
🗓️ 02 Jan 2026   🌍 Middle-East

Dans les coulisses des piratages Telegram de Handala : comment un groupe notoire a ébranlé la politique israélienne avec une seule application

Un regard approfondi sur les compromissions de comptes Telegram qui ont secoué les responsables israéliens - et les véritables leçons derrière les gros titres.

Par un matin glacial de décembre 2025, des rumeurs ont commencé à circuler dans les cercles politiques israéliens : un groupe obscur se faisant appeler Handala affirmait avoir piraté les téléphones de hauts responsables du gouvernement, dont un ancien Premier ministre. Les fuites qui ont suivi - listes de contacts, photos et allusions alléchantes à des conversations privées - ont provoqué une onde de choc dans les couloirs officiels, alimentant la crainte d’une brèche numérique profonde. Mais une fois la poussière retombée, les enquêteurs en cybersécurité ont découvert une histoire moins spectaculaire, mais tout aussi inquiétante : la véritable cible n’était pas le téléphone, mais l’application de messagerie à l’intérieur.

Anatomie d’un piratage d’influence moderne

La campagne de Handala, baptisée « Opération Octopus », visait l’ancien Premier ministre israélien Naftali Bennett et Tzachi Braverman, chef de cabinet du Premier ministre en exercice. Le groupe a publié une masse de données, se vantant d’avoir compromis l’intégralité des appareils et menaçant de nouvelles révélations politiques. Les démentis initiaux ont laissé place à un aveu partiel : Bennett a reconnu un accès non autorisé à son compte Telegram, tout en assurant que son iPhone lui-même n’avait jamais été compromis.

Les enquêteurs en criminalistique de KELA, une société de renseignement sur les menaces, ont analysé les fichiers divulgués. Leur verdict : la grande majorité des quelque 1 900 « conversations de chat » supposées n’étaient que des coquilles vides - des fiches de contact automatiquement créées par Telegram lors de la synchronisation avec le carnet d’adresses de l’utilisateur. Seuls environ 40 fils contenaient de vrais messages, et peu d’entre eux comportaient des informations sensibles. Les contacts eux-mêmes correspondaient toutefois à des comptes Telegram actifs de hauts responsables, journalistes et chefs d’entreprise - suffisamment pour alimenter les spéculations et semer la méfiance.

Comment Handala a-t-il procédé ? Les experts estiment que le groupe a probablement utilisé un mélange de techniques connues mais redoutables : phishing pour obtenir les identifiants Telegram, collecte de codes à usage unique (OTP) via l’ingénierie sociale, ou encore vol de données d’authentification dans le dossier « tdata » de Telegram Desktop. Dans certains cas, les attaquants ont pu exploiter des paramètres de sécurité laxistes, comme l’absence du « mot de passe cloud » optionnel de Telegram. Le SIM swapping ou l’interception de codes SMS via des failles réseau ont également pu jouer un rôle, permettant aux attaquants de contourner totalement les protections de l’appareil.

La véritable innovation de Handala ne résidait pas dans la prouesse technique, mais dans la guerre de l’information. En exagérant l’étendue de leur accès, ils ont amplifié l’impact psychologique - sapant la confiance dans la sécurité numérique au plus haut niveau. Le mode opératoire du groupe s’inscrit dans une tendance plus large des opérations cyber liées à des États : utiliser des fuites et des divulgations de données pour façonner la perception publique, même lorsque la réalité technique est moins spectaculaire.

Leçons pour l’ère numérique

L’épisode sonne comme un avertissement pour les responsables et les organisations. Les applications « sécurisées » ne sont aussi robustes que leur maillon le plus faible - souvent, l’erreur humaine ou des paramètres négligés. Les experts recommandent aux cibles de grande valeur d’activer toutes les fonctionnalités de sécurité disponibles, y compris le mot de passe cloud et l’authentification à deux facteurs de Telegram, d’auditer régulièrement les sessions actives et de renforcer la sécurité SIM auprès des opérateurs mobiles. Comme le montre ce cas, un seul compte compromis peut devenir une arme redoutable entre les mains d’un adversaire expérimenté.

Au final, le piratage Telegram de Handala n’a pas été le casse numérique annoncé. Mais dans le monde trouble des opérations d’influence, la perception peut être aussi puissante que la réalité.

WIKICROOK

  • Phishing : Le phishing est une cybercriminalité où les attaquants envoient de faux messages pour inciter les utilisateurs à révéler des données sensibles ou à cliquer sur des liens malveillants.
  • One : Les autorisations à usage unique permettent aux sites web ou applications d’accéder temporairement à des fonctionnalités comme la caméra ou la localisation, l’accès étant révoqué automatiquement à la fermeture.
  • SIM Swapping : Le SIM swapping est une arnaque où des criminels dupent les opérateurs pour transférer votre numéro sur leur appareil, leur donnant accès à vos appels et SMS.
  • Détournement de session : Le détournement de session consiste pour un attaquant à voler ou imiter la session d’un utilisateur afin d’obtenir un accès non autorisé et d’agir en son nom en ligne.
  • Dossier tdata : Le dossier tdata stocke localement les données d’authentification et de session de Telegram Desktop, permettant des connexions persistantes et jouant un rôle clé dans la sécurité des comptes.
Handala Telegram hacks Israeli politics
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news