A propos du piratage de Signal

smartphone main wi-fi

A propos de l’auteur: Xavier Lanne travaille dans le domaine de la cyberdéfense. Il est à l’origine d’un groupe « CyberÉthique » qui a pour but de poser une réflexion philosophique et éthique sur l’impact des technologies sur la vie et la dignité de l’homme. Vous pouvez retrouver son groupe Signal à cette adresse : CyberÉthique.

Vous avez peut-être vu passer la nouvelle que près de 2000 comptes de la messagerie Signal ont été compromis

Est-ce que cela veut dire que Signal n’est pas sécurisé ? Non, Signal est bien sécurisé.

Description de l’attaque

L’attaque est très simple : des pirates s’inscrivent sur Signal avec des numéros de téléphones existant. La vérification par SMS est détournée. Cela est possible quand les bonnes conditions sont réunies. Les pirates ont donc la possibilité de recevoir et envoyer des messages à l’aide du compte fraîchement récupéré.
Si la victime avait déjà un compte Signal, il perd l’accès à celui-ci.

Quelles sont les données que les pirates peuvent récupérer ? Aucune.

Lors d’une réinscription sur Signal, l’historique et la configuration ne peut être récupéré autrement qu’en ayant une sauvegarde ou en ayant physiquement accès à l’ancien téléphone. Ce n’est pas le cas ici.
Le risque reste cependant de recevoir des messages sur votre compte piraté pendant ce temps où vous n’y avez plus accès. Cela donnera aux pirates des informations sur vos contacts et sur les discussions que vous avez.

Comment récupérer votre compte ? En vous réinscrivant.

Cela a exactement les mêmes conséquences pour le pirate : il perdra l’accès à votre compte. Vous ne récupérerez pas les éventuels messages qu’il aura reçus ou qu’il aura envoyé en votre nom.

Comment empêcher que cela se reproduise ? En bloquant l’inscription à Signal avec votre numéro grâce au NIP.

Le code NIP permet de sécuriser l’accès aux messages au sein de votre téléphone. Mais il peut également servir à bloquer l’inscription à Signal. Dans ce cas, si vous tentez de vous réinscrire sur Signal avec votre numéro de téléphone, il vous sera demandé d’entrer le code NIP que vous aviez configuré. Sans celui-ci, vous ne pourrez plus vous réinscrire. Il ne faut donc surtout pas oublier ce code (pensez à un gestionnaire de mot de passe 😉
Cela empêchera donc les pirates de réussir une inscription Signal avec votre numéro !

  • Dans Signal : Paramètres/Compte/Blocage de l’inscription
paramétrage NIP Signal

Conclusion

Signal reste donc une application sécurisée. En effet, beaucoup de ses concurrents auraient probablement offert aux pirates l’accès à l’historique des conversations ou aux contacts après la prise de contrôle du compte. Les conséquences restent donc très faibles ici. On le doit à la philosophie suivit par Signal : garder le moins de données possible, et restreindre au maximum la transmission de celles-ci. Signal avait tout à fait prévu ce scénario et a déployé l’option de blocage des inscriptions avec le NIP il y a plusieurs années. Cette « faille » ne relève donc pas entièrement de la responsabilité de Signal.

Partager :

Recevez un chapitre gratuit

Inscrivez-vous à notre lettre d’information et recevez dans votre boite mail un chapitre gratuit du livre 24 heures dans une vie pas si privée.

Autres articles :

Acheter