Notice: Trying to get property 'display_name' of non-object in /var/www/vhosts/sen360.sn/news.sen360.sn/wp-content/plugins/wordpress-seo/src/generators/schema/article.php on line 52

Signal : une faille expose les numéros de téléphone de 1 900 utilisateurs

Par , publié le .

Technologie

Les numéros de téléphone et codes SMS de 1 900 utilisateurs de Signal dans la nature, ceci à  cause d’une faille chez son partenaire Twilio. Un rappel qu’aucun système, même aussi sécurisé que Signal, n’est inviolable.

Les numéros de téléphone et codes SMS de 1 900 utilisateurs de Signal dans la nature, ceci à  cause d’une faille chez son partenaire Twilio. Un rappel qu’aucun système, même aussi sécurisé que Signal, n’est inviolable.

Signal est probablement le service de messagerie instantanée le plus sécurisé du moment. Cela ne le rend pas pour autant invulnérable au piratage. L’entreprise a confirmé qu’une faille de sécurité chez son partenaire de vérification Twilio avait permis d’exposer les numéros de téléphone et codes SMS d’environ 1 900 utilisateurs. Comme TechCrunch a pu l’observer, l’intrus aurait pu utiliser ces informations pour s’authentifier à  la place de ces utilisateurs ou pour enregistrer leurs numéros sur d’autres appareils.

Les données ont déjà  été utilisées à  mauvais escient. Les auteurs de cette attaque ont ainsi cherché trois numéros de téléphone et re-enregistré le compte d’un utilisateur en particulier. Signal ne stocke aucun historique de discussion ni contact en ligne, de fait, cette brèche dans la sécurité ne devrait pas avoir permis de révéler d’autres données sensibles.

Quoi qu’il en soit, Signal a pris des mesures pour limiter les éventuels dommages. La plate-forme a ainsi retiré l’app sur tous les appareils liés des comptes concernés, forçant les utilisateurs à  se réenregistrer. L’équipe recommande par ailleurs d’activer un verrouillage à  l’enregistrement qui vient justement empêcher quiconque de se réenregistrer sur un autre appareil sans fournir un code PIN.

Twilio avait révélé la faille le 8 aoà»t dernier. Les auteurs, jusqu’à  présent toujours non identifiés, ont utilisé le phishing pour obtenir les informations de connexion et accéder aux comptes de 125 clients. Bien qu’il ne soit pas encore clairement identifié quels autres clients ont pu être affectés, Twilio propose ses services à  nombre de grosses entreprises et organisations.

L’attaque met en tous les cas la pression sur Signal. Cela pourrait être l’élément déclencheur venant décider la plate-forme, comme d’autres l’ont déjà  fait, à  se libérer du numéro de téléphone, lequel peut être vulnérable aux attaques de type SIM swap et autre. C’est aussi un rappel que les systèmes, même très sécurisés, ont pour maillon faible leurs éventuels partenaires. Une faille chez un tiers est parfois plus dangereuse qu’une attaque directe.

O commentaire

Laisser un commentaire

Votre email ne sera pas publié. Champ obligatoire (*)