Le chercheur en sécurité John Jackson a publié une étude à propos de deux vulnérabilités qu’il a détectées dans la version bureau du service de messagerie instantanée Signal : CVE-2023-24069 et CVE-2023-24068. L’expert est convaincu que les escrocs peuvent exploiter ces failles à des fins d’espionnage. Étant donné que les applications pour bureau de Signal utilisent le même code comme base pour tous les systèmes d’exploitation, ces deux vulnérabilités concernent Windows, mais aussi MacOS et Linux. Toutes les versions, y compris la plus récente (6.2.0), sont vulnérables. Voyons à quel point cette menace est réelle.
Qu’est-ce que les vulnérabilités CVE-2023-24069 et CVE-2023-24068 ?
La première vulnérabilité, CVE-2023-24069, se trouve au sein d’un mécanisme mal conçu qui gère les fichiers envoyés par Signal. Lorsque vous envoyez un fichier dans un chat de Signal, l’interface de bureau le conserve dans un répertoire local. Lorsqu’un fichier est supprimé, il disparaît du répertoire… sauf si quelqu’un a répondu ou l’a fait suivre dans une autre conversation. De plus, même si Signal se présente comme une application sûre de messagerie instantanée et que toutes les communications sont chiffrées, les fichiers sont conservés dans un format non protégé.
La vulnérabilité CVE-2023-24068 a été détectée lors d’une étude plus approfondie du programme. Il s’avère qu’il n’y a pas de mécanisme de validation du fichier. En théorie, cela permet aux escrocs de le remplacer. Cela étant dit, si le fichier transféré a été ouvert sur la version bureau, quelqu’un peut le remplacer dans le fichier local par un faux. Ainsi, lors des autres transferts, l’utilisateur va distribuer le fichier de remplacement au lieu du fichier original qu’il souhaitait faire suivre.
Quels sont les dangers de ces vulnérabilités ?
Les risques potentiels de la vulnérabilité CVE-2023-24069 sont plus ou moins compréhensibles. Par exemple, si un utilisateur de la version de bureau de Signal laisse son ordinateur déverrouillé sans surveillance, quelqu’un peut avoir accès aux fichiers envoyés via Signal. Cela peut aussi arriver si le chiffrement complet du disque est activé sur l’ordinateur et que son propriétaire a tendance à le laisser sans surveillance (dans une chambre d’hôtel, par exemple).
L’exploitation de la seconde vulnérabilité requiert une approche plus globale. Imaginons qu’une personne reçoive et envoie régulièrement des fichiers via l’application de bureau de Signal ; par exemple, un responsable envoie des tâches à ses subordonnés. Si un cybercriminel a accès à l’ordinateur, il peut remplacer un des fichiers ou, par souci de discrétion, modifier le document existant en ajoutant, par exemple, un script malveillant. Lorsque ce même fichier est transféré, le propriétaire va envoyer le programme malveillant à tous ses contacts.
Il convient de souligner que l’exploitation de ces deux vulnérabilités n’est possible que si le cybercriminel a déjà accès à l’ordinateur de la victime. Ce scénario n’est pas surréaliste puisque l’accès ne doit pas forcément être physique. Il suffit d’infecter l’ordinateur avec un programme malveillant qui permet aux intrus de manipuler les fichiers.
Comment vous protéger ?
Selon le programme de CVE, les développeurs de Signal ne sont pas d’accord et considèrent que les vulnérabilités ne sont pas si importantes. Ils expliquent que leur produit ne devrait pas et ne peut pas protéger l’utilisateur contre les cybercriminels lorsqu’ils possèdent un accès au système de la victime d’un tel niveau. Ainsi, la meilleure chose à faire est de ne pas utiliser la version de bureau de Signal (et les versions de bureau des messageries instantanées en général). Si votre processus de travail vous oblige à vous en servir pour exécuter certaines tâches, alors nous vous conseillons de :
- Sensibiliser vos employés pour qu’ils apprennent à ne pas laisser leur ordinateur déverrouillé sans surveillance.
- Toujours utiliser le chiffrement complet du disque sur les dispositifs professionnels.
- Installer des solutions de sécurité qui détectent et interceptent les programmes malveillants ainsi que les tentatives non autorisées d’accès à vos données.