Cybersécurité. A propos du piratage de Signal

Vous avez peut-être vu passer la nouvelle que près de 2000 comptes Signal ont été compromis…

Est-ce que cela veut dire que Signal n’est pas sécurisé ? Non, Signal est bien sécurisé.

Description de l’attaque :

L’attaque est très simple : des pirates s’inscrivent sur Signal avec des numéros de téléphones existant. La vérification par SMS est détournée. Pour cela, ils ont piraté la société Twilio qui gère la vérification par SMS des comptes qui veulent s’inscrire sur Signal. Une fois la réinscription/inscription faite avec le numéro de la cible, les pirates ont la possibilité de recevoir et envoyer des messages à l’aide du compte fraîchement récupéré.

Si la victime avait déjà un compte Signal, elle perd l’accès à celui-ci.

Quelles sont les données que les pirates peuvent récupérer ? Aucune.

Lors d’une réinscription sur Signal, l’historique et la configuration ne peut être récupéré autrement qu’en ayant une sauvegarde ou en ayant physiquement accès à l’ancien téléphone. Ce n’est pas le cas ici.

Le risque reste cependant de recevoir des messages sur votre compte piraté pendant ce temps où vous n’y avez plus accès. Cela donnera aux pirates des informations sur vos contacts et sur les discussions que vous avez.

Et la fuite des numéros ?

Mais peut-on réellement parler de fuite dans le cas présent ? En effet, c’est une donnée publique que de savoir si un numéro est inscrit sur Signal ou pas. Pour le savoir, il suffit de tenter d’initier une communication avec la cible avec l’application Signal. Si le numéro est déjà inscrit, l’application vous propose d’envoyer les messages via le réseau sécurisé de Signal. Sinon l’application vous proposera d’envoyer un SMS non sécurisé.

Quelqu’un qui aurait un peu de patience pourrait tout à fait construire la liste de tous les numéros actuellement enregistrés sur Signal. Pour cela, il suffit de tester toutes les combinaisons possibles.

Or, dans le cas présent, les pirates n’ont même pas pris le temps de faire cette vérification ! En effet, signal a communiqué que certains des numéros n’étaient pas préalablement inscrits au moment où les pirates l’on inscrit sur Signal. Les pirates ont donc probablement pris une base de donnée avec une liste de numéro, et les ont bêtement réinscrits sur Signal en espérant intercepter les futures communications…

Comment récupérer votre compte ? En vous réinscrivant.

Cela a exactement les mêmes conséquences pour le pirate : il perdra l’accès à votre compte. Vous ne récupérerez pas les éventuels messages qu’il aura reçus ou qu’il aura envoyé en votre nom.

Comment empêcher que cela se reproduise ? En bloquant l’inscription à Signal avec votre numéro grâce au NIP.

Le code NIP permet de sécuriser l’accès aux messages au sein de votre téléphone. Mais il peut également servir à bloquer l’inscription à Signal. Dans ce cas, si vous tentez de vous réinscrire sur Signal avec votre numéro de téléphone, il vous sera demandé d’entrer le code NIP que vous aviez configuré. Sans celui-ci, vous ne pourrez plus vous réinscrire. Il ne faut donc surtout pas oublier ce code (pensez à un gestionnaire de mot de passe ;)

Cela empêchera donc les pirates de réussir une inscription Signal avec votre numéro !

Signal reste donc une application sécurisée. En effet, beaucoup de ses concurrents auraient probablement offert aux pirates l’accès à l’historique des conversations ou aux contacts après la prise de contrôle du compte. Les conséquences restent donc très faibles ici. On le doit à la philosophie suivit par Signal : garder le moins de données possible, et restreindre au maximum la transmission de celles-ci. Signal avait tout à fait prévu ce scénario et a déployé l’option de blocage des inscriptions avec le NIP il y a plusieurs années. Cette « faille » ne relève donc pas entièrement de la responsabilité de Signal, mais bien d’une attaque complexe réalisée auprès de son partenaire, ainsi qu’une configuration peu sécurisée de la part des utilisateurs.

Crédit photo : DR

[cc] Breizh-info.com, 2022, dépêches libres de copie et de diffusion sous réserve de mention et de lien vers la source d’origine

Cet article vous a plu, intrigué, ou révolté ?

PARTAGEZ L'ARTICLE POUR SOUTENIR BREIZH INFO

2 réponses à “Cybersécurité. A propos du piratage de Signal”

  1. Grandin dit :

    Signal avec Olivid reste pour moi la meilleure solution en matière de confidentialité. Les autres messageries cryptées me semblent suspectes a commencé par WHATAPP (groupe Metas bien connu pour être une passoire à données) et Telegram (ça ne vous déroute pas que Telegram utilise en Ukraine ne soit pas combattu par la Russie ? Sans doute que cela s’explique par le fait que les Services russes ont déjà les clefs de cryptage de Telegram alors qu’ils dénigrent justement Signal. Donc Signal garde toute ma confiance.

ARTICLES EN LIEN OU SIMILAIRES

Santé

Une révolution numérique dans le suivi chirurgical ? Focus sur l’application Betty

Découvrir l'article

Sociétal

Le coût mondial de la cybercriminalité augmente 12 fois plus vite que les dépenses totales en matière de cybersécurité

Découvrir l'article

A La Une, Ensauvagement, Informatique, Social, Sociétal

CAF. Les comptes de 600 000 allocataires ont-ils été piratés ?

Découvrir l'article

Informatique

Comment savoir si votre téléphone est victime de piratage ?

Découvrir l'article

Sociétal

Sécurité informatique. Votre téléphone a-t-il été piraté ?

Découvrir l'article

Sociétal, Technologies

Application Signal. La messagerie sécurisée victime d’un piratage

Découvrir l'article

Informatique

Hameçonnage et fausses offres d’emploi sur LinkedIn, les escroqueries pullulent

Découvrir l'article

Informatique

Cybersécurité : comment les entreprises peuvent se protéger ?

Découvrir l'article

Economie

Bluetit. Une application lancée en Bretagne pour chiffrer facilement et rapidement les travaux de rénovation

Découvrir l'article

Sociétal, Technologies

Piratage informatique. Entre guerre en Ukraine et élection présidentielle : la cyber-angoisse des Français

Découvrir l'article

PARTICIPEZ AU COMBAT POUR LA RÉINFORMATION !

Faites un don et soutenez la diversité journalistique.

Nous utilisons des cookies pour vous garantir la meilleure expérience sur Breizh Info. Si vous continuez à utiliser le site, nous supposerons que vous êtes d'accord.

Clicky