{"id":20047,"date":"2023-01-27T10:44:58","date_gmt":"2023-01-27T08:44:58","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=20047"},"modified":"2023-01-27T10:44:58","modified_gmt":"2023-01-27T08:44:58","slug":"signal-desktop-file-vulnerabilities","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/signal-desktop-file-vulnerabilities\/20047\/","title":{"rendered":"Les deux nouvelles vuln\u00e9rabilit\u00e9s de Signal sont-elles dangereuses ?"},"content":{"rendered":"

Le chercheur en s\u00e9curit\u00e9 John Jackson a publi\u00e9 une \u00e9tude<\/a> \u00e0 propos de deux vuln\u00e9rabilit\u00e9s qu\u2019il a d\u00e9tect\u00e9es dans la version bureau du service de messagerie instantan\u00e9e Signal\u00a0: CVE-2023-24069<\/a> et CVE-2023-24068<\/a>. L\u2019expert est convaincu que les escrocs peuvent exploiter ces failles \u00e0 des fins d\u2019espionnage. \u00c9tant donn\u00e9 que les applications pour bureau de Signal utilisent le m\u00eame code comme base pour tous les syst\u00e8mes d\u2019exploitation, ces deux vuln\u00e9rabilit\u00e9s concernent Windows, mais aussi MacOS et Linux. Toutes les versions, y compris la plus r\u00e9cente (6.2.0), sont vuln\u00e9rables. Voyons \u00e0 quel point cette menace est r\u00e9elle.<\/p>\n

Qu\u2019est-ce que les vuln\u00e9rabilit\u00e9s CVE-2023-24069 et CVE-2023-24068 ?<\/h2>\n

La premi\u00e8re vuln\u00e9rabilit\u00e9, CVE-2023-24069, se trouve au sein d\u2019un m\u00e9canisme mal con\u00e7u qui g\u00e8re les fichiers envoy\u00e9s par Signal. Lorsque vous envoyez un fichier dans un chat de Signal, l\u2019interface de bureau le conserve dans un r\u00e9pertoire local. Lorsqu\u2019un fichier est supprim\u00e9, il dispara\u00eet du r\u00e9pertoire\u2026 sauf si quelqu\u2019un a r\u00e9pondu ou l\u2019a fait suivre dans une autre conversation. De plus, m\u00eame si Signal se pr\u00e9sente comme une application s\u00fbre de messagerie instantan\u00e9e et que toutes les communications sont chiffr\u00e9es, les fichiers sont conserv\u00e9s dans un format non prot\u00e9g\u00e9.<\/p>\n

La vuln\u00e9rabilit\u00e9 CVE-2023-24068 a \u00e9t\u00e9 d\u00e9tect\u00e9e lors d\u2019une \u00e9tude plus approfondie du programme. Il s\u2019av\u00e8re qu\u2019il n\u2019y a pas de m\u00e9canisme de validation du fichier. En th\u00e9orie, cela permet aux escrocs de le remplacer. Cela \u00e9tant dit, si le fichier transf\u00e9r\u00e9 a \u00e9t\u00e9 ouvert sur la version bureau, quelqu\u2019un peut le remplacer dans le fichier local par un faux. Ainsi, lors des autres transferts, l\u2019utilisateur va distribuer le fichier de remplacement au lieu du fichier original qu\u2019il souhaitait faire suivre.<\/p>\n

Quels sont les dangers de ces vuln\u00e9rabilit\u00e9s ?<\/h2>\n

Les risques potentiels de la vuln\u00e9rabilit\u00e9 CVE-2023-24069 sont plus ou moins compr\u00e9hensibles. Par exemple, si un utilisateur de la version de bureau de Signal laisse son ordinateur d\u00e9verrouill\u00e9 sans surveillance, quelqu\u2019un peut avoir acc\u00e8s aux fichiers envoy\u00e9s via Signal. Cela peut aussi arriver si le chiffrement complet du disque est activ\u00e9 sur l\u2019ordinateur et que son propri\u00e9taire a tendance \u00e0 le laisser sans surveillance (dans une chambre d\u2019h\u00f4tel, par exemple).<\/p>\n

L\u2019exploitation de la seconde vuln\u00e9rabilit\u00e9 requiert une approche plus globale. Imaginons qu\u2019une personne re\u00e7oive et envoie r\u00e9guli\u00e8rement des fichiers via l\u2019application de bureau de Signal\u00a0; par exemple, un responsable envoie des t\u00e2ches \u00e0 ses subordonn\u00e9s. Si un cybercriminel a acc\u00e8s \u00e0 l\u2019ordinateur, il peut remplacer un des fichiers ou, par souci de discr\u00e9tion, modifier le document existant en ajoutant, par exemple, un script malveillant. Lorsque ce m\u00eame fichier est transf\u00e9r\u00e9, le propri\u00e9taire va envoyer le programme malveillant \u00e0 tous ses contacts.<\/p>\n

Il convient de souligner que l\u2019exploitation de ces deux vuln\u00e9rabilit\u00e9s n\u2019est possible que si le cybercriminel a d\u00e9j\u00e0 acc\u00e8s \u00e0 l\u2019ordinateur de la victime. Ce sc\u00e9nario n\u2019est pas surr\u00e9aliste puisque l\u2019acc\u00e8s ne doit pas forc\u00e9ment \u00eatre physique. Il suffit d\u2019infecter l\u2019ordinateur avec un programme malveillant qui permet aux intrus de manipuler les fichiers.<\/p>\n

Comment vous prot\u00e9ger ?<\/h2>\n

Selon le programme de CVE, les d\u00e9veloppeurs de Signal ne sont pas d\u2019accord<\/a> et consid\u00e8rent que les vuln\u00e9rabilit\u00e9s ne sont pas si importantes. Ils expliquent que leur produit ne devrait pas et ne peut pas prot\u00e9ger l\u2019utilisateur contre les cybercriminels lorsqu\u2019ils poss\u00e8dent un acc\u00e8s au syst\u00e8me de la victime d\u2019un tel niveau. Ainsi, la meilleure chose \u00e0 faire est de ne pas utiliser la version de bureau de Signal (et les versions de bureau des messageries instantan\u00e9es en g\u00e9n\u00e9ral). Si votre processus de travail vous oblige \u00e0 vous en servir pour ex\u00e9cuter certaines t\u00e2ches, alors nous vous conseillons de\u00a0:<\/p>\n