Signal : une faille expose les numéros de téléphone de 1 900 utilisateurs

Les numéros de téléphone et codes SMS de 1 900 utilisateurs de Signal dans la nature, ceci à cause d'une faille chez son partenaire Twilio. Un rappel qu'aucun système, même aussi sécurisé que Signal, n'est inviolable.

Signal est probablement le service de messagerie instantanée le plus sécurisé du moment. Cela ne le rend pas pour autant invulnérable au piratage. L’entreprise a confirmé qu’une faille de sécurité chez son partenaire de vérification Twilio avait permis d’exposer les numéros de téléphone et codes SMS d’environ 1 900 utilisateurs. Comme TechCrunch a pu l’observer, l’intrus aurait pu utiliser ces informations pour s’authentifier à la place de ces utilisateurs ou pour enregistrer leurs numéros sur d’autres appareils.

Les numéros de téléphone et codes SMS de 1 900 utilisateurs de Signal dans la nature

Les données ont déjà été utilisées à mauvais escient. Les auteurs de cette attaque ont ainsi cherché trois numéros de téléphone et re-enregistré le compte d’un utilisateur en particulier. Signal ne stocke aucun historique de discussion ni contact en ligne, de fait, cette brèche dans la sécurité ne devrait pas avoir permis de révéler d’autres données sensibles.

Quoi qu’il en soit, Signal a pris des mesures pour limiter les éventuels dommages. La plate-forme a ainsi retiré l’app sur tous les appareils liés des comptes concernés, forçant les utilisateurs à se réenregistrer. L’équipe recommande par ailleurs d’activer un verrouillage à l’enregistrement qui vient justement empêcher quiconque de se réenregistrer sur un autre appareil sans fournir un code PIN.

Ceci à cause d’une faille chez son partenaire Twilio

Twilio avait révélé la faille le 8 août dernier. Les auteurs, jusqu’à présent toujours non identifiés, ont utilisé le phishing pour obtenir les informations de connexion et accéder aux comptes de 125 clients. Bien qu’il ne soit pas encore clairement identifié quels autres clients ont pu être affectés, Twilio propose ses services à nombre de grosses entreprises et organisations.

Un rappel qu’aucun système, même aussi sécurisé que Signal, n’est inviolable

L’attaque met en tous les cas la pression sur Signal. Cela pourrait être l’élément déclencheur venant décider la plate-forme, comme d’autres l’ont déjà fait, à se libérer du numéro de téléphone, lequel peut être vulnérable aux attaques de type SIM swap et autre. C’est aussi un rappel que les systèmes, même très sécurisés, ont pour maillon faible leurs éventuels partenaires. Une faille chez un tiers est parfois plus dangereuse qu’une attaque directe.