Des attaquants tentent de dérober aux utilisateurs de Signal leur clé de récupération, un code de 64 caractères qui donne accès à l'intégralité de l'historique de leurs conversations sauvegardées dans le cloud. Signal ne peut pas bloquer une restauration effectuée avec cette clé.
La messagerie chiffrée Signal fait à nouveau l'objet d'une campagne de phishing. Celle de mars visait le code PIN et le code de vérification SMS. La nouvelle convoite la clé de récupération des Signal Secure Backups, une fonctionnalité de sauvegarde chiffrée lancée en 2025. On utilise cette clé pour déchiffrer une archive complète des messages stockée dans le cloud. Sans elle, l'archive est inaccessible, y compris pour Signal. Avec elle, n'importe qui peut restaurer l'ensemble de l'historique sur un appareil quelconque, sans autre vérification.
Les attaquants délaissent le PIN et le code SMS pour s'en prendre à la clé de récupération des sauvegardes
Les Signal Secure Backups reposent sur une architecture dite « zéro connaissance » : les archives quittent l'appareil déjà chiffrées, et la clé de 64 caractères ne transite jamais vers les serveurs de Signal. Quiconque obtient cette clé par tromperie peut télécharger l'archive et la restaurer sur un autre appareil. Il n'a pas besoin d'accéder au compte actif, ni d'intercepter des messages en temps réel. L'opération passe inaperçue jusqu'à ce que la victime vérifie ses appareils liés.
En mars dernier, le FBI et la CISA avaient publié une alerte commune sur des groupes liés aux services de renseignement russes. Ces groupes exploitaient la fonction « appareils liés » de Signal pour lire les messages de personnalités politiques, militaires et journalistiques en temps réel. Signal avait ensuite déployé des confirmations supplémentaires dans l'application : un deuxième écran s'affiche désormais avant qu'un appareil soit lié au compte, avec un rappel explicite que Signal ne demande jamais de code d'enregistrement, de PIN ou de clé de récupération.
Par ailleurs, l'archive sauvegardée contient l'ensemble des messages texte et, selon le forfait souscrit, jusqu'à 45 jours de médias ou 100 Go pour les abonnés payants. Pour restaurer une sauvegarde, il suffit de réinstaller l'application et de saisir la clé lors de l'inscription. À cette étape, aucun besoin d'un second facteur.
Les nouvelles confirmations in-app de Signal sont inefficaces contre le vol de clé de récupération
Signal affiche désormais un bandeau « Nom non vérifié » sous les profils de contacts absents de tout groupe commun avec l'utilisateur, et soumet les nouvelles demandes de contact à une confirmation supplémentaire. Ces étapes supplémentaires ralentissent les usurpations d'identité dans l'application. Ces confirmations s'affichent dans l'application, au moment de lier un appareil ou d'accepter un contact. Mais un attaquant qui veut la clé de récupération n'a pas besoin de franchir ces étapes. Il convainc l'utilisateur de la saisir sur une page web, en dehors de l'application.
Ils envoient un message qui prétend venir de Signal, signalent une activité suspecte et demandent de saisir la clé sur une page externe. Ce scénario a déjà permis de compromettre des comptes sur d'autres services. Signal précise, sur sa page d'assistance dédiée, qu'il ne contacte jamais les utilisateurs par message intégré, SMS ou réseau social. Tout message qui s'en réclame est donc une arnaque.
On ne doit saisir la clé de récupération qu'à un seul endroit, dans le flux d'inscription de l'application officielle, au moment de restaurer une sauvegarde. Signal ne peut pas techniquement empêcher un utilisateur de la taper ailleurs. Seul l'utilisateur peut prendre cette décision.
Source : TechCrunch
