{"id":19311,"date":"2022-09-01T16:30:14","date_gmt":"2022-09-01T14:30:14","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=19311"},"modified":"2022-09-27T16:33:07","modified_gmt":"2022-09-27T14:33:07","slug":"signal-hacked-but-still-secure","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/signal-hacked-but-still-secure\/19311\/","title":{"rendered":"Signal est une application s\u00fbre, comme les cybercriminels l’ont prouv\u00e9"},"content":{"rendered":"

Le 15 ao\u00fbt, l\u2019\u00e9quipe de Signal a indiqu\u00e9<\/a> que des cybercriminels anonymes avaient attaqu\u00e9 les utilisateurs de cette application de messagerie. Nous expliquons pourquoi cet incident a montr\u00e9 quels sont les avantages de Signal par rapport aux autres services de messagerie.<\/p>\n

Que s\u2019est-il pass\u00e9 ?<\/h2>\n

Selon le communiqu\u00e9 de Signal, seuls 1900 utilisateurs seraient concern\u00e9s par l\u2019attaque. \u00c9tant donn\u00e9 que Signal compte<\/a> plus de 40 millions d\u2019utilisateurs actifs par mois, l\u2019incident n\u2019a touch\u00e9 qu\u2019une infime partie de la communaut\u00e9. Cela \u00e9tant dit, Signal est principalement utilis\u00e9 par les personnes qui se pr\u00e9occupent r\u00e9ellement de la confidentialit\u00e9 de leurs conversations. M\u00eame si l\u2019attaque n\u2019a affect\u00e9 qu\u2019une minuscule fraction de l\u2019audience, elle a retenti dans le monde de la s\u00e9curit\u00e9 informatique.<\/p>\n

\u00c0 la suite de cette attaque, les cybercriminels pouvaient se connecter au compte de la victime depuis un autre appareil, ou tout simplement savoir que le propri\u00e9taire de tel ou tel num\u00e9ro de t\u00e9l\u00e9phone utilisait Signal. Parmi ces 1900 num\u00e9ros de t\u00e9l\u00e9phone, trois int\u00e9ressaient vraiment les cybercriminels. D\u2019ailleurs, c\u2019est un de ces trois utilisateurs qui a signal\u00e9 \u00e0 Signal que son compte avait \u00e9t\u00e9 activ\u00e9 sur un autre appareil sans son accord.<\/p>\n

Comment est-ce arriv\u00e9 ?<\/h2>\n

Sur notre blog Kaspersky Daily, nous avons souvent mentionn\u00e9<\/a> le fait<\/a> que Signal est une application de messagerie s\u00e9curis\u00e9e, ce qui ne l\u2019a pas emp\u00each\u00e9e d\u2019\u00eatre victime d\u2019une attaque. Est-ce que cela veut dire que la s\u00e9curit\u00e9 et la confidentialit\u00e9 qui l\u2019ont rendue c\u00e9l\u00e8bre ne sont qu\u2019un mythe\u00a0? Voyons exactement \u00e0 quoi ressemblait l\u2019attaque et quel a \u00e9t\u00e9 le r\u00f4le de Signal.<\/p>\n

Tout d\u2019abord, il convient de souligner que, tout comme WhatsApp et Telegram, le compte Signal est associ\u00e9 \u00e0 un num\u00e9ro de t\u00e9l\u00e9phone. C\u2019est assez courant, mais ce n\u2019est pas une pratique universelle. Par exemple, l\u2019application de messagerie s\u00e9curis\u00e9e Threema indique fi\u00e8rement que l\u2019un de ses arguments de vente est que le compte n\u2019est pas associ\u00e9 \u00e0 un num\u00e9ro de t\u00e9l\u00e9phone. Avec Signal, le num\u00e9ro de t\u00e9l\u00e9phone est n\u00e9cessaire pour l\u2019authentification\u00a0<\/a>: l\u2019utilisateur entre son num\u00e9ro de t\u00e9l\u00e9phone et re\u00e7oit un code par SMS qu\u2019il doit saisir\u00a0: s\u2019il est correct, cela signifie que l\u2019utilisateur est bien le propri\u00e9taire du num\u00e9ro.<\/p>\n

L\u2019envoi de ces codes \u00e0 usage unique para SMS est g\u00e9r\u00e9 par des entreprises sp\u00e9cialis\u00e9es qui fournissent cette m\u00eame m\u00e9thode d\u2019authentification \u00e0 plusieurs services. Dans le cas de Signal, Twilio est son fournisseur, et c\u2019est cette entreprise qui a \u00e9t\u00e9 pirat\u00e9e.<\/p>\n

L\u2019hame\u00e7onnage \u00e9tait la prochaine \u00e9tape. Certains employ\u00e9s de Twilio ont re\u00e7u<\/a> des messages qui disaient que leurs mots de passe \u00e9taient anciens et qu\u2019ils devaient les mettre \u00e0 jour. Pour ce faire, ils devaient cliquer sur un lien d\u2019hame\u00e7onnage. Un employ\u00e9 a mordu \u00e0 l\u2019hame\u00e7on, a ouvert le faux site et a saisi ses identifiants, qui ont imm\u00e9diatement \u00e9t\u00e9 transmis aux cybercriminels.<\/p>\n

Ces identifiants leur donnent acc\u00e8s aux syst\u00e8mes internes de Twilio et leur permet d\u2019envoyer des SMS aux utilisateurs et de les lire. Les cybercriminels se sont ensuite servis du service pour installer Signal sur un nouvel appareil\u00a0: ils ont entr\u00e9 le num\u00e9ro de t\u00e9l\u00e9phone de la victime, ont intercept\u00e9 le SMS qui contenait le code d\u2019activation et voil\u00e0, ils \u00e9taient connect\u00e9s au compte Signal.<\/p>\n

Comment cet incident a-t-il d\u00e9montr\u00e9 la robustesse de Signal ?<\/h2>\n

Il s\u2019av\u00e8re que m\u00eame Signal n\u2019est pas immunis\u00e9 contre ces incidents. Dans ce cas, pourquoi continuons-nous \u00e0 parler de sa s\u00e9curit\u00e9 et de sa confidentialit\u00e9\u00a0?<\/p>\n

Tout d\u2019abord, les cybercriminels n\u2019ont pas eu acc\u00e8s aux messages<\/strong>. Signal utilise un chiffrement de bout en bout<\/a> gr\u00e2ce au Protocole Signal<\/a> s\u00e9curis\u00e9. Le chiffrement de bout en bout fait que les messages de l\u2019utilisateur ne sont stock\u00e9s que sur l\u2019appareil et non sur les serveurs de Signal ou ailleurs. Ainsi, il est impossible de les lire en piratant l\u2019infrastructure de Signal.<\/p>\n

Les num\u00e9ros de t\u00e9l\u00e9phone des utilisateurs et les num\u00e9ros de t\u00e9l\u00e9phone de leurs contacts sont stock\u00e9s<\/em> dans les serveurs de Signal. Cela permet \u00e0 la messagerie de vous notifier lorsqu\u2019un de vos contacts cr\u00e9e un compte Signal. Tout d\u2019abord, les donn\u00e9es sont conserv\u00e9es dans des unit\u00e9s de stockage sp\u00e9ciales, connues comme enclaves s\u00e9curis\u00e9es (Secure Enclave<\/em>) auxquelles m\u00eame les d\u00e9veloppeurs de Signal n\u2019ont pas acc\u00e8s. Ensuite, les num\u00e9ros de t\u00e9l\u00e9phone ne sont pas stock\u00e9s en texte brut mais sous la force d\u2019un hash code<\/em> (hachage). Ce m\u00e9canisme permet \u00e0 l\u2019application Signal install\u00e9e sur votre t\u00e9l\u00e9phone d\u2019envoyer les informations relatives \u00e0 vos contacts de fa\u00e7on chiffr\u00e9e et de recevoir une r\u00e9ponse chiffr\u00e9e pour savoir lesquels de vos contacts utilisent Signal. En d\u2019autres termes, les cybercriminels ne pouvaient pas avoir acc\u00e8s \u00e0 la liste des contacts des utilisateurs<\/strong>.<\/p>\n

Enfin, il convient de souligner que le programme Signal a \u00e9t\u00e9 attaqu\u00e9 par la cha\u00eene d\u2019approvisionnement puisque les cybercriminels ont exploit\u00e9 un fournisseur de services moins prot\u00e9g\u00e9 qui travaille avec l\u2019entreprise. Il s\u2019agit donc du maillon faible. Pourtant, Signal avait adopt\u00e9 des mesures de protection contre cet aspect.<\/p>\n

L\u2019application dispose d\u2019une fonctionnalit\u00e9 nomm\u00e9e \u00ab\u00a0Blocage de l\u2019inscription\u00a0\u00bb (pour l\u2019activer allez dans <em>Param\u00e8tres \u2192 Compte \u2192 Blocage de l\u2019inscription<\/em><\/em>) qui demande \u00e0 l\u2019utilisateur de saisir le NIP<\/a> qu\u2019il a d\u00e9fini pour activer Signal sur un nouvel appareil. Juste au cas o\u00f9, il faut pr\u00e9ciser que le NIP Signal n\u2019a aucun lien avec le d\u00e9verrouillage de l\u2019application, puisque ce dernier s\u2019effectue de la m\u00eame mani\u00e8re que lorsqu\u2019il s\u2019agit de d\u00e9verrouiller votre smartphone.<\/p>\n

\"\"<\/p>\n

\u00a0<\/p>\n

L\u2019option \u00ab\u00a0Blocage de l\u2019inscription\u00a0\u00bb est d\u00e9sactiv\u00e9e par d\u00e9faut, et c\u2019\u00e9tait notamment le cas d\u2019au moins un des comptes pirat\u00e9s. Ainsi, les cybercriminels ont r\u00e9ussi l\u2019attaque en se faisant passer pour la victime pendant pr\u00e8s de 13 heures. Si l\u2019option \u00ab\u00a0Blocage de l\u2019inscription\u00a0\u00bb avait \u00e9t\u00e9 activ\u00e9e, ils n\u2019auraient pas pu se connecter \u00e0 l\u2019application<\/strong>\u00a0puisqu\u2019ils n\u2019avaient que le num\u00e9ro de t\u00e9l\u00e9phone et le code de v\u00e9rification.<\/p>\n

Que faire pour mieux prot\u00e9ger les messages ?<\/h2>\n

En r\u00e9sum\u00e9, les cybercriminels n\u2019ont pas pirat\u00e9 Signal mais son partenaire Twilio, ce qui leur a permis d\u2019avoir acc\u00e8s \u00e0 1900 comptes dont ils se sont servis pour se connecter \u00e0 trois d\u2019entre eux. De plus, ils n\u2019ont pas pu consulter les messages ni les contacts des utilisateurs, et n\u2019ont pu qu\u2019usurper l\u2019identit\u00e9 des utilisateurs dont ils avaient les comptes. Si ces utilisateurs avaient activ\u00e9 le \u00ab\u00a0Blocage de l\u2019inscription\u00a0\u00bb, les cybercriminels auraient \u00e9t\u00e9 bloqu\u00e9s.<\/p>\n

M\u00eame si cette attaque a officiellement \u00e9t\u00e9 un succ\u00e8s, inutile d\u2019avoir peur et d\u2019arr\u00eater d\u2019utiliser Signal. Cette application est assez s\u00fbre et elle garantit une bonne confidentialit\u00e9 de vos messages, comme ce piratage l\u2019a d\u00e9montr\u00e9. Vous pouvez tout de m\u00eame renforcer la s\u00e9curit\u00e9\u00a0:<\/p>\n