Le 15 août, l’équipe de Signal a indiqué que des cybercriminels anonymes avaient attaqué les utilisateurs de cette application de messagerie. Nous expliquons pourquoi cet incident a montré quels sont les avantages de Signal par rapport aux autres services de messagerie.
Que s’est-il passé ?
Selon le communiqué de Signal, seuls 1900 utilisateurs seraient concernés par l’attaque. Étant donné que Signal compte plus de 40 millions d’utilisateurs actifs par mois, l’incident n’a touché qu’une infime partie de la communauté. Cela étant dit, Signal est principalement utilisé par les personnes qui se préoccupent réellement de la confidentialité de leurs conversations. Même si l’attaque n’a affecté qu’une minuscule fraction de l’audience, elle a retenti dans le monde de la sécurité informatique.
À la suite de cette attaque, les cybercriminels pouvaient se connecter au compte de la victime depuis un autre appareil, ou tout simplement savoir que le propriétaire de tel ou tel numéro de téléphone utilisait Signal. Parmi ces 1900 numéros de téléphone, trois intéressaient vraiment les cybercriminels. D’ailleurs, c’est un de ces trois utilisateurs qui a signalé à Signal que son compte avait été activé sur un autre appareil sans son accord.
Comment est-ce arrivé ?
Sur notre blog Kaspersky Daily, nous avons souvent mentionné le fait que Signal est une application de messagerie sécurisée, ce qui ne l’a pas empêchée d’être victime d’une attaque. Est-ce que cela veut dire que la sécurité et la confidentialité qui l’ont rendue célèbre ne sont qu’un mythe ? Voyons exactement à quoi ressemblait l’attaque et quel a été le rôle de Signal.
Tout d’abord, il convient de souligner que, tout comme WhatsApp et Telegram, le compte Signal est associé à un numéro de téléphone. C’est assez courant, mais ce n’est pas une pratique universelle. Par exemple, l’application de messagerie sécurisée Threema indique fièrement que l’un de ses arguments de vente est que le compte n’est pas associé à un numéro de téléphone. Avec Signal, le numéro de téléphone est nécessaire pour l’authentification : l’utilisateur entre son numéro de téléphone et reçoit un code par SMS qu’il doit saisir : s’il est correct, cela signifie que l’utilisateur est bien le propriétaire du numéro.
L’envoi de ces codes à usage unique para SMS est géré par des entreprises spécialisées qui fournissent cette même méthode d’authentification à plusieurs services. Dans le cas de Signal, Twilio est son fournisseur, et c’est cette entreprise qui a été piratée.
L’hameçonnage était la prochaine étape. Certains employés de Twilio ont reçu des messages qui disaient que leurs mots de passe étaient anciens et qu’ils devaient les mettre à jour. Pour ce faire, ils devaient cliquer sur un lien d’hameçonnage. Un employé a mordu à l’hameçon, a ouvert le faux site et a saisi ses identifiants, qui ont immédiatement été transmis aux cybercriminels.
Ces identifiants leur donnent accès aux systèmes internes de Twilio et leur permet d’envoyer des SMS aux utilisateurs et de les lire. Les cybercriminels se sont ensuite servis du service pour installer Signal sur un nouvel appareil : ils ont entré le numéro de téléphone de la victime, ont intercepté le SMS qui contenait le code d’activation et voilà, ils étaient connectés au compte Signal.
Comment cet incident a-t-il démontré la robustesse de Signal ?
Il s’avère que même Signal n’est pas immunisé contre ces incidents. Dans ce cas, pourquoi continuons-nous à parler de sa sécurité et de sa confidentialité ?
Tout d’abord, les cybercriminels n’ont pas eu accès aux messages. Signal utilise un chiffrement de bout en bout grâce au Protocole Signal sécurisé. Le chiffrement de bout en bout fait que les messages de l’utilisateur ne sont stockés que sur l’appareil et non sur les serveurs de Signal ou ailleurs. Ainsi, il est impossible de les lire en piratant l’infrastructure de Signal.
Les numéros de téléphone des utilisateurs et les numéros de téléphone de leurs contacts sont stockés dans les serveurs de Signal. Cela permet à la messagerie de vous notifier lorsqu’un de vos contacts crée un compte Signal. Tout d’abord, les données sont conservées dans des unités de stockage spéciales, connues comme enclaves sécurisées (Secure Enclave) auxquelles même les développeurs de Signal n’ont pas accès. Ensuite, les numéros de téléphone ne sont pas stockés en texte brut mais sous la force d’un hash code (hachage). Ce mécanisme permet à l’application Signal installée sur votre téléphone d’envoyer les informations relatives à vos contacts de façon chiffrée et de recevoir une réponse chiffrée pour savoir lesquels de vos contacts utilisent Signal. En d’autres termes, les cybercriminels ne pouvaient pas avoir accès à la liste des contacts des utilisateurs.
Enfin, il convient de souligner que le programme Signal a été attaqué par la chaîne d’approvisionnement puisque les cybercriminels ont exploité un fournisseur de services moins protégé qui travaille avec l’entreprise. Il s’agit donc du maillon faible. Pourtant, Signal avait adopté des mesures de protection contre cet aspect.
L’application dispose d’une fonctionnalité nommée « Blocage de l’inscription » (pour l’activer allez dans <em>Paramètres → Compte → Blocage de l’inscription</em>) qui demande à l’utilisateur de saisir le NIP qu’il a défini pour activer Signal sur un nouvel appareil. Juste au cas où, il faut préciser que le NIP Signal n’a aucun lien avec le déverrouillage de l’application, puisque ce dernier s’effectue de la même manière que lorsqu’il s’agit de déverrouiller votre smartphone.
L’option « Blocage de l’inscription » est désactivée par défaut, et c’était notamment le cas d’au moins un des comptes piratés. Ainsi, les cybercriminels ont réussi l’attaque en se faisant passer pour la victime pendant près de 13 heures. Si l’option « Blocage de l’inscription » avait été activée, ils n’auraient pas pu se connecter à l’application puisqu’ils n’avaient que le numéro de téléphone et le code de vérification.
Que faire pour mieux protéger les messages ?
En résumé, les cybercriminels n’ont pas piraté Signal mais son partenaire Twilio, ce qui leur a permis d’avoir accès à 1900 comptes dont ils se sont servis pour se connecter à trois d’entre eux. De plus, ils n’ont pas pu consulter les messages ni les contacts des utilisateurs, et n’ont pu qu’usurper l’identité des utilisateurs dont ils avaient les comptes. Si ces utilisateurs avaient activé le « Blocage de l’inscription », les cybercriminels auraient été bloqués.
Même si cette attaque a officiellement été un succès, inutile d’avoir peur et d’arrêter d’utiliser Signal. Cette application est assez sûre et elle garantit une bonne confidentialité de vos messages, comme ce piratage l’a démontré. Vous pouvez tout de même renforcer la sécurité :
- Activez le « Blocage de l’inscription » dans les paramètres de Signal pour que les cybercriminels ne puissent pas se connecter à votre compte sans votre code NIP privé même s’ils arrivent à obtenir le code à usage unique qui permet d’activer Signal sur un nouvel appareil.
- Lisez notre article sur la confidentialité et la sécurité de Signal, et configurez l’application. Signal a des paramètres basiques mais aussi diverses options pour les plus paranoïaques qui leur permettent de renforcer la sécurité aux dépens de la facilité d’utilisation.
- Installez une application de sécurité sur votre smartphone. Si un programme malveillant atteint votre appareil, les mesures de protection prises par Signal ne vont pas protéger vos messages ou vos contacts. En revanche, si le programme malveillant ne peut pas accéder à votre smartphone, ou s’il est détecté en temps et en heure, vos données sont en sécurité.