Pourquoi les utilisateurs de Signal se font pirater (pas l'application)

Le chiffrement de Signal fonctionne parfaitement. Ce sont ses utilisateurs qui sont visés.

Signal jouit depuis longtemps d'une réputation d'application de messagerie privée par excellence. Son chiffrement de bout en bout est mathématiquement solide, son code est open source, et son protocole est approuvé par des chercheurs en sécurité du monde entier. Alors, lorsque des rapports ont révélé que des hackers liés à la Russie parviennent à compromettre les comptes Signal d'utilisateurs de haut profil, la question naturelle se pose : Signal a-t-il été piraté ?

La réponse courte est non. Le chiffrement de Signal n'a pas été compromis. Ce qui a été compromis est quelque chose de bien plus difficile à corriger : la confiance humaine.

Selon ces rapports, les attaquants utilisent des campagnes de hameçonnage sophistiquées pour amener les utilisateurs de Signal à accorder eux-mêmes l'accès à leur compte. La méthode implique généralement de fausses alertes de sécurité à l'apparence officielle convaincante, incitant les cibles à associer un nouvel appareil à leur compte. Une fois que c'est fait, l'attaquant reçoit un miroir en direct des messages de la victime en temps réel, sans jamais toucher aux serveurs de Signal ni déchiffrer la moindre ligne de chiffrement.

Il s'agit d'une distinction fondamentale. L'application n'est pas la faille. C'est le comportement de l'utilisateur qui l'est.

Comment l'attaque fonctionne réellement

Signal prend en charge une fonctionnalité légitime appelée appareils associés, qui permet aux utilisateurs d'accéder à leur compte depuis plusieurs téléphones ou ordinateurs simultanément. Les attaquants exploitent cette fonctionnalité en générant des QR codes ou des liens malveillants qui, une fois scannés ou cliqués, ajoutent discrètement l'appareil de l'attaquant au compte de la victime.

Les messages de hameçonnage sont conçus pour créer un sentiment d'urgence. Ils peuvent prétendre que le compte de l'utilisateur a été compromis, qu'il doit vérifier son identité, ou qu'une mise à jour de sécurité nécessite une action immédiate. Les cibles de valeur soumises à la pression sont plus susceptibles d'agir rapidement et moins susceptibles d'examiner attentivement la demande.

Une fois l'appareil associé, l'attaquant n'a rien à déchiffrer. Il lit simplement les messages à leur arrivée, en texte clair, comme n'importe quel appareil associé légitime le ferait. Il peut également se faire passer pour la victime dans des conversations en cours, ce qui a de graves implications pour les journalistes, les militants, les avocats, les fonctionnaires gouvernementaux et toute autre personne gérant des communications sensibles.

Ce type d'attaque est parfois appelé attaque par ingénierie sociale ou prise de contrôle de compte par accès autorisé. Il ne nécessite aucun exploit zero-day, aucune violation de serveur, ni aucune prouesse cryptographique. Il suffit que la cible commette une seule erreur.

Ce que cela signifie pour vous

Si vous utilisez Signal parce que vous tenez à votre vie privée, cette nouvelle ne devrait pas vous pousser à abandonner l'application. Signal reste l'une des plateformes de messagerie les plus fiables disponibles, et le chiffrement sous-jacent continue de protéger les messages contre toute interception en transit. Mais cette situation rappelle que le chiffrement n'est qu'une couche d'une posture de sécurité, et non l'ensemble de celle-ci.

Voyez les choses ainsi : une porte de coffre-fort n'est efficace que si personne ne remet la clé à un attaquant qui prétend être serrurier.

Pour la plupart des utilisateurs ordinaires, le risque lié à cette campagne spécifique d'origine russe est faible. Les cibles signalées sont des personnes de haut profil, probablement impliquées dans des travaux politiques, militaires ou journalistiques sensibles. Mais les tactiques employées ne sont pas exotiques. Les attaques de hameçonnage utilisant de fausses alertes de sécurité sont courantes sur toutes les plateformes, et la fonctionnalité d'appareils associés n'est pas propre à Signal.

Les utilisateurs soucieux de leur vie privée, quel que soit leur niveau de risque, devraient traiter leurs applications de messagerie comme les professionnels de la sécurité traitent tout système sensible : avec des défenses en couches et une vigilance constante.

Mesures pratiques pour protéger votre compte Signal

Voici ce que vous pouvez faire dès maintenant pour réduire votre exposition :

Vérifiez régulièrement vos appareils associés. Le menu des paramètres de Signal affiche tous les appareils actuellement associés à votre compte. Si vous en voyez un qui ne vous est pas familier, supprimez-le immédiatement. Faites-en une vérification routinière, et non une action ponctuelle.

Soyez profondément méfiant face aux alertes de sécurité. Les applications légitimes envoient rarement des messages urgents vous demandant de scanner un QR code ou de cliquer sur un lien pour vérifier votre compte. Traitez par défaut toute demande de ce type comme suspecte, même si elle semble officielle.

Activez le verrouillage d'inscription de Signal. Cette fonctionnalité exige un code PIN avant que votre compte puisse être réenregistré sur un nouvel appareil. Elle ajoute une friction pour les attaquants qui tentent de prendre le contrôle d'un compte.

Protégez l'appareil lui-même. Le chiffrement de Signal protège les messages en transit. Si votre téléphone est déverrouillé et remis à quelqu'un, ou compromis par un logiciel malveillant, cette protection prend fin. Les mots de passe forts sur l'appareil, les verrous biométriques et la mise à jour régulière de votre système d'exploitation sont tous importants.

Réfléchissez à la sécurité globale de votre réseau. Pour les utilisateurs qui gèrent des communications véritablement sensibles, router le trafic via un VPN réputé ajoute une couche d'anonymat qui rend plus difficile pour les attaquants de profiler votre activité, d'identifier votre localisation ou de mener la reconnaissance qui précède souvent le hameçonnage ciblé. Un VPN ne résout pas le hameçonnage, mais il fait partie d'une approche en couches qui réduit l'exposition globale.

Vérifiez par un canal alternatif. Si vous recevez un message suspect, même d'un contact connu, confirmez la demande par un canal entièrement séparé — un appel téléphonique, une conversation en personne ou une autre application — avant de prendre toute mesure.

La leçon à tirer de ces attaques de hameçonnage visant Signal n'est pas que la messagerie chiffrée est inutile. C'est qu'aucun outil unique n'est une solution complète. Signal protège vos messages de manière exceptionnelle. Protéger votre compte exige que vous restiez vigilant face aux moyens que les attaquants utilisent pour contourner entièrement la technologie — en vous ciblant vous, plutôt qu'elle.