L’application de messagerie cryptée de bout en bout Signal indique que les attaquants ont accédé aux numéros de téléphone et aux codes de vérification SMS de près de 2 000 utilisateurs dans le cadre de la violation du géant des communications Twilio la semaine dernière.
Twilio, qui fournit des services de vérification des numéros de téléphone à Signal, a déclaré le 8 août que des acteurs malveillants avaient accédé aux données de 125 clients après avoir réussi à hameçonner plusieurs employés. Twilio n’a pas précisé qui étaient les clients, mais il est probable qu’ils incluent de grandes organisations après que Signal a confirmé lundi qu’il s’agissait de l’une de ces victimes.
Signal a déclaré lundi dans un article de blog qu’il informerait environ 1 900 utilisateurs dont les numéros de téléphone ou les codes de vérification SMS ont été volés lorsque les attaquants ont eu accès à la console d’assistance client de Twilio.
« Pour environ 1 900 utilisateurs, un attaquant aurait pu tenter de réenregistrer leur numéro sur un autre appareil ou apprendre que leur numéro était enregistré sur Signal », a déclaré le géant de la messagerie. « Parmi les 1 900 numéros de téléphone, l’attaquant a explicitement recherché trois numéros, et nous avons reçu un rapport de l’un de ces trois utilisateurs indiquant que son compte a été réenregistré. »
Bien que cela n’ait pas donné à l’attaquant l’accès à l’historique des messages, que Signal ne stocke pas, ni aux listes de contacts et aux informations de profil, qui sont protégées par le code PIN de sécurité de l’utilisateur, Signal a déclaré « dans le cas où un attaquant pourrait re- enregistrer un compte, ils pourraient envoyer et recevoir des messages Signal à partir de ce numéro de téléphone.
Pour les personnes concernées, la société déclare qu’elle désenregistrera Signal sur tous les appareils que l’utilisateur utilise actuellement – ou sur lesquels un attaquant les a enregistrés – et demandera aux utilisateurs de réenregistrer Signal avec leur numéro de téléphone sur leur appareil préféré. Signal conseille également aux utilisateurs d’activer le verrouillage de l’enregistrement, une fonctionnalité qui empêche un compte d’être réenregistré sur un autre appareil sans le code PIN de sécurité de l’utilisateur.
Bien que la violation de Twilio affecte une fraction des plus de 40 millions d’utilisateurs de Signal, les utilisateurs déplorent depuis longtemps que Signal – considéré comme l’une des applications de messagerie les plus sécurisées – oblige les utilisateurs à enregistrer un numéro de téléphone pour créer un compte. D’autres applications de chiffrement de bout en bout, telles que Wire, permettent aux utilisateurs de s’inscrire avec un nom d’utilisateur. Bien que Signal ait lentement mis fin à sa dépendance aux numéros de téléphone, comme avec l’introduction des codes PIN Signal en 2020, cet incident relancera probablement les appels pour qu’il agisse plus rapidement.