Signal : une vulnérabilité révèle les numéros de téléphone de 1 900 utilisateurs

Numéros de téléphone et codes SMS des utilisateurs de 1900 Signal dans la nature, cela est dû à un manque chez son partenaire Twilio. Un rappel qu’aucun système, même aussi sécurisé que Signal, n’est inviolable.

Signal est sans doute le service de messagerie instantanée le plus sécurisé. Cependant, cela ne le met pas à l’abri du piratage. La société a confirmé que les numéros de téléphone et les codes SMS d’environ 1 900 utilisateurs avaient été exposés en raison d’une faille dans la sécurité de son partenaire de vérification Twilio. Comme l’a noté TechCrunch, l’attaquant pourrait utiliser ces informations pour s’authentifier au nom de ces utilisateurs ou pour stocker leurs numéros sur d’autres appareils.

Numéros de téléphone et codes SMS de 1900 utilisateurs de Signal dans la nature

Les données ont déjà été utilisées à mauvais escient. Ainsi, les auteurs de cette attaque ont demandé trois numéros de téléphone et réenregistré le compte d’un utilisateur spécifique. Signal ne stocke pas l’historique des discussions ou les contacts en ligne, donc cette faille de sécurité n’aurait pas dû exposer d’autres données sensibles.

Dans tous les cas, Signal a pris des mesures pour limiter les pertes. Ainsi, la plateforme a supprimé l’application de tous les appareils associés des comptes concernés, obligeant les utilisateurs à se réinscrire. L’équipe recommande également d’activer le verrouillage de l’inscription, qui vous empêche de vous réinscrire sur un autre appareil sans fournir de code PIN.

Cela est dû au manque de son partenaire Twilio.

Twilio a identifié la faille le 8 août. Des criminels, dont l’identité n’a pas encore été identifiée, ont utilisé le phishing pour obtenir des informations d’enregistrement et accéder aux comptes de 125 clients. Bien qu’il ne soit pas encore clair quels autres clients pourraient avoir été touchés, Twilio offre ses services à un certain nombre de grandes entreprises et organisations.

Un rappel qu’aucun système, même aussi sécurisé que Signal, n’est inviolable.

L’attaque met quand même la pression sur Signal. Cela pourrait être un déclencheur pour la plate-forme, comme d’autres l’ont déjà fait, pour se débarrasser d’un numéro de téléphone qui pourrait être vulnérable à l’usurpation de carte SIM et à d’autres attaques. C’est aussi un rappel que les systèmes, même très sécurisés, ont leurs partenaires potentiels comme maillon faible. Une erreur d’un tiers est parfois plus dangereuse qu’une attaque directe.