Signal indique que la violation de données par un tiers a exposé 1 900 numéros de téléphone

La réputation de Signal en matière de messagerie sécurisée ne le rend pas complètement invulnérable aux incidents de piratage. La société a confirmé qu’une violation de données chez le partenaire de vérification Twillio a révélé les numéros de téléphone et les codes SMS d’environ 1 900 utilisateurs. Comme Tech Crunch observé, l’intrus aurait pu soit utiliser les informations pour identifier les utilisateurs de Signal, soit réenregistrer leurs numéros sur d’autres appareils.

Les données ont déjà été utilisées à mauvais escient. Le coupable a recherché trois numéros de téléphone et réenregistré le compte d’un utilisateur. Signal ne stocke pas les historiques de chat ou les contacts en ligne, donc la violation n’aurait pas dû révéler d’autres détails sensibles.

Signal prend des mesures pour limiter les dégâts. Il désenregistrera l’application sur tous les appareils liés aux comptes concernés, obligeant les utilisateurs à se réenregistrer. L’équipe a également recommandé d’activer un verrou d’enregistrement qui empêche quiconque de se réenregistrer sur d’autres appareils sans fournir de code PIN.

Twilio a révélé la brèche le 8 août. Les auteurs actuellement non identifiés ont utilisé des escroqueries par hameçonnage pour obtenir des informations de connexion et accéder aux comptes de 125 clients. Bien qu’il ne soit pas clair quels autres clients ont été touchés, Twilio sert généralement de grandes entreprises et organisations.

L’attaque accroît la pression sur Signal pour qu’il rejoigne d’autres fournisseurs de messagerie cryptée en s’éloignant des numéros de téléphone, qui peuvent être vulnérables aux échanges de cartes SIM et à d’autres systèmes basés sur les chiffres. C’est aussi un rappel que les systèmes ne sont aussi sûrs que leurs partenaires technologiques – un glissement à un tiers est parfois aussi dangereux qu’une agression directe.