Les numéros de téléphone des utilisateurs de Signal exposés dans un piratage majeur de Twilio
Même l’application de messagerie la plus sécurisée n’est pas complètement à l’abri des problèmes de sécurité.
Lundi, Signal, souvent considérée comme l’application de messagerie la plus sécurisée, a partagé qu’une faille de sécurité de son fournisseur de services de vérification de numéro de téléphone affectait 1 900 de ses utilisateurs.. En raison de la violation, les numéros de téléphone de ces utilisateurs ont été exposés.
Le tweet a peut-être été supprimé
Selon le message de Signal détaillant la situation, le fournisseur, Twilio, a été la cible d’une attaque de phishing. Dans le propre post de Twilio expliquant la situation, la société affirme qu’il s’agissait d’une « attaque d’ingénierie sociale sophistiquée conçue pour voler les informations d’identification des employés ». L’attaque a réussi à obtenir des informations d’identification de certains employés de Twilio. Twilio dit qu’environ 125 de ses clients ont vu leurs données compromises lors de l’attaque. L’un de ces clients concernés est Signal.
Du bon côté, la réputation de Signal en tant qu’application de messagerie la plus sécurisée est intacte grâce à son service crypté à 100% de bout en bout. Sans accès à l’appareil physique d’un utilisateur de Signal, un acteur malveillant ne pourrait pas accéder à l’historique de messagerie de cet utilisateur. Ainsi, toutes les informations sensibles partagées dans les messages sur Signal n’ont pas été compromises. Les données de profil, la liste de contacts et d’autres données n’ont pas non plus été compromises, encore une fois, grâce à la conception de Signal.
Cependant, Signal avertit que des problèmes sont survenus pour les utilisateurs touchés par la violation :
« Pour environ 1 900 utilisateurs, un attaquant aurait pu tenter de réenregistrer leur numéro sur un autre appareil ou apprendre que leur numéro était enregistré sur Signal. Cette attaque a depuis été arrêtée par Twilio. »
Selon Signal, l’un de ces 1 900 utilisateurs a signalé que son compte avait été réenregistré sur un autre appareil sans son autorisation. De plus, comme le note Signal, la plupart de ses utilisateurs n’ont pas du tout été affectés par la faille de sécurité.
Le fait qu’il y ait eu assez peu de retombées de cette faille de sécurité témoigne de la sécurité de Signal. Mais la violation rappelle également le seul défaut flagrant de Signal : l’obligation pour un utilisateur d’enregistrer son numéro de téléphone pour utiliser le service de messagerie. Signal a déjà laissé entendre qu’il permettra bientôt aux gens d’utiliser des noms d’utilisateur au lieu de leur numéro de téléphone, mais il n’y a actuellement aucun déploiement prévu pour cette fonctionnalité.