Une faille de sécurité trouvée dans l'app de messagerie instantanée Signal

Pierre Crochart
Spécialiste smartphone & gaming
22 mai 2020 à 10h26
2

Le cabinet de cybersécurité Tenable a découvert une faille de sécurité majeure dans l’application de messagerie chiffrée Signal. Grâce à elle, des pirates peuvent accéder à la localisation du smartphone des utilisateurs de l’application.

Alertée, Signal a été prompte à déployer une mise à jour. L’entreprise recommande à tous ses utilisateurs de télécharger, sans plus attendre, la nouvelle version de l’application sur le Google Play Store et l’App Store.

Une vulnérabilité permettant d’accéder à la localisation de l’utilisateur

Tenable a mis le doigt sur une faille permettant à des pirates d’accéder à la localisation des utilisateurs de Signal, ou du moins à leurs schémas de déplacement. Par quel prodige ? En passant un simple appel via l’application. Que l’appel soit accepté ou non par l’utilisateur, le pirate serait ainsi en mesure d’accéder à de précieuses données de localisation.

Plus précisément, la faille utilise le code WebRTC qui s’occupe des requêtes DNS sur l’appareil des utilisateurs. Grâce à elle, les pirates peuvent récupérer des données du DNS d’un utilisateur, et obtenir des informations sur sa position dans un rayon de 400 miles (645 kilomètres).

Une faille déjà corrigée par Signal

L’utilisateur lambda de Signal n’a sans doute pas grand-chose à craindre de cette faille. Toutefois, Signal ayant la réputation d’être une application extrêmement sécurisée et, surtout, particulièrement robuste en matière de protection des données, elle a la préférence de personnalités issues du monde de l’espionnage, du journalisme et, bien entendu, des lanceurs d’alerte.

D’ailleurs, l’application a très largement été popularisée par un certain Edward Snowden qui, après avoir révélé au grand jour la surveillance de masse des agences gouvernementales américaines, recommandait d’utiliser Signal pour ses échanges.

Tenable ajoute que Signal pourrait bien ne pas être la seule application concernée par cette faille, qui est davantage imputable à WebRTC, une API très largement utilisée sur le net, et que l’on retrouve sur l’essentiel des applications de messagerie.

Source : Techradar

Modifié le 22/05/2020 à 15h41

Soyez toujours courtois dans vos commentaires et respectez le réglement de la communauté.

2
3
Voir tous les messages sur le forum

Actualités récentes

Forfaits mobiles : les forfaits sans engagement en promo ce weekend !
Cyberpunk 2077 : tout savoir sur le jeu de CD Projekt RED juste avant le lancement des hostilités !
Black Friday : Amazon continue les promos,avec ce Huawei Matebook 13 à prix choc
La webcam Aukey Full HD toujours en promotion pour le Black Friday
Black Friday Fnac : la souris gamer Razer Naga Trinity baisse encore de prix grâce à un code
Black Friday Amazon et Cdiscount : toutes les promos encore disponibles ce week-end !
Test Western Digital WD_Black SN850 : le plus rapide des SSD NVMe
Au lendemain du Black Friday, le casque Logitech G Pro X est toujours à prix cassé
Black Friday Amazon : une souris bureautique Logitech à moins de 20€
Profitez du Black Friday Amazon pour changer de smartphone pour le Poco F2 Pro à prix cassé
Haut de page