Agrandir / L’application de messagerie sécurisée de Signal fait face à une tentative de phishing tierce qui a exposé un petit nombre de numéros de téléphone d’utilisateurs.
Getty Images
Une attaque de phishing réussie contre la société de services SMS Twilio a peut-être révélé les numéros de téléphone d’environ 1 900 utilisateurs de l’application de messagerie sécurisée Signal, mais c’est à peu près l’étendue de la violation, déclare Signal, notant qu’aucune autre donnée utilisateur n’était accessible.
Dans un fil Twitter et un document de support, Signal déclare qu’une récente attaque de phishing réussie (et riche en ressources) contre Twilio a permis l’accès aux numéros de téléphone liés à 1 900 utilisateurs. C’est “un très petit pourcentage du nombre total d’utilisateurs de Signal”, écrit Signal, et les 1 900 utilisateurs concernés seront avertis (par SMS) de réenregistrer leurs appareils. Signal, comme de nombreuses sociétés d’applications, utilise Twilio pour envoyer des codes de vérification par SMS aux utilisateurs qui enregistrent leur application Signal.
Avec un accès momentané à la console d’assistance client de Twilio, les attaquants auraient pu potentiellement utiliser les codes de vérification envoyés par Twilio pour activer Signal sur un autre appareil et ainsi envoyer ou recevoir de nouveaux messages Signal. Ou un attaquant pourrait confirmer que ces 1 900 numéros de téléphone ont bien été enregistrés sur les appareils Signal.
Publicité
Aucune autre donnée n’était accessible, en grande partie à cause de la conception de Signal. L’historique des messages est entièrement stocké sur les appareils des utilisateurs. Les listes de contacts et de blocage, les détails du profil et d’autres données utilisateur nécessitent un code PIN Signal pour y accéder. Et Signal demande aux utilisateurs d’activer le verrouillage de l’enregistrement, ce qui empêche l’accès de Signal sur de nouveaux appareils jusqu’à ce que le code PIN de l’utilisateur soit correctement saisi.
“Le type d’attaque de télécommunications subie par Twilio est une vulnérabilité contre laquelle Signal a développé des fonctionnalités telles que le verrouillage d’enregistrement et les codes PIN Signal pour se protéger”, indique le document d’assistance de Signal. L’application de messagerie note que bien que Signal “n’ait pas la capacité de résoudre directement les problèmes affectant l’écosystème des télécommunications”, il travaillera avec Twilio et d’autres fournisseurs “pour renforcer leur sécurité là où cela compte pour nos utilisateurs”.
Les codes PIN de signal ont été introduits en mai 2020, en partie pour réduire la dépendance aux numéros de téléphone en tant qu’identifiant d’utilisateur principal. Ce dernier incident pourrait fournir un autre coup de pouce pour dissocier la sécurité renforcée de Signal de l’écosystème SMS, où l’usurpation d’identité bon marché et efficace et les hacks de réseau étendus restent trop courants.
