Une faille de sécurité trouvée dans l'app de messagerie instantanée Signal

Pierre Crochart
Spécialiste smartphone & gaming
22 mai 2020 à 15h41
2
Signal logo © © Signal

Le cabinet de cybersécurité Tenable a découvert une faille de sécurité majeure dans l’application de messagerie chiffrée Signal. Grâce à elle, des pirates peuvent accéder à la localisation du smartphone des utilisateurs de l’application.

Alertée, Signal a été prompte à déployer une mise à jour. L’entreprise recommande à tous ses utilisateurs de télécharger, sans plus attendre, la nouvelle version de l’application sur le Google Play Store et l’App Store.

Une vulnérabilité permettant d’accéder à la localisation de l’utilisateur

Tenable a mis le doigt sur une faille permettant à des pirates d’accéder à la localisation des utilisateurs de Signal, ou du moins à leurs schémas de déplacement. Par quel prodige ? En passant un simple appel via l’application. Que l’appel soit accepté ou non par l’utilisateur, le pirate serait ainsi en mesure d’accéder à de précieuses données de localisation.

Plus précisément, la faille utilise le code WebRTC qui s’occupe des requêtes DNS sur l’appareil des utilisateurs. Grâce à elle, les pirates peuvent récupérer des données du DNS d’un utilisateur, et obtenir des informations sur sa position dans un rayon de 400 miles (645 kilomètres).

Une faille déjà corrigée par Signal

L’utilisateur lambda de Signal n’a sans doute pas grand-chose à craindre de cette faille. Toutefois, Signal ayant la réputation d’être une application extrêmement sécurisée et, surtout, particulièrement robuste en matière de protection des données, elle a la préférence de personnalités issues du monde de l’espionnage, du journalisme et, bien entendu, des lanceurs d’alerte.

D’ailleurs, l’application a très largement été popularisée par un certain Edward Snowden qui, après avoir révélé au grand jour la surveillance de masse des agences gouvernementales américaines, recommandait d’utiliser Signal pour ses échanges.

Tenable ajoute que Signal pourrait bien ne pas être la seule application concernée par cette faille, qui est davantage imputable à WebRTC, une API très largement utilisée sur le net, et que l’on retrouve sur l’essentiel des applications de messagerie.

Source : Techradar

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
2
3
bmustang
Tenable cible ses recherches sur les outils ayant une réputation infaillible pour buzzer sur celle-ci, alors qu’il s’agirait de webrtc la faille, soit javascript ?
xryl
WebRTC != Javascript. WebRTC, c’est une pile de communication temps réel qui est un mix horrible entre du SIP, du RTSP et du TLS, sans jamais identifier les coupables. Bref, vu la taille du code qui sert de référence à la majorité des implémentations (on parle de centaines de milliers de lignes de code), il est impossible qu’il n’y ait pas de faille.<br /> Ici, c’est encore plus simple, WebRTC se base sur ICE/TURN pour ouvrir les ports des NAT et donc il est possible d’identifier la zone géographique d’un utilisateur sans grands efforts. De là à trouver sa position exacte, c’est tout une autre histoire, vu que les smartphones roament entre les cellules 4G en permanence.
Voir tous les messages sur le forum

Actualités du moment

20 ans de Clubic : encore deux jeux concours pour la route !
La bande-annonce de Tenet, le prochain film de Christopher Nolan, en avant-première sur Fortnite !
Razer sommé de stopper la commercialisation de son Razer Phone 2 (et de rembourser les clients)
Sea of Thieves et tous ses DLC jetteront l'ancre sur Steam le 3 juin
Facebook maintiendra le télétravail après la crise du coronavirus
Twitter permet désormais de définir qui est en mesure de répondre aux tweets
Découvrez le premier rendu 3D du Samsung Galaxy Note 20
Serious Sam 4 pas avant 2021 sur PS4 et Xbox One, la faute à... Google Stadia !
Justice League : la version director's cut de Zack Snyder sera sur HBO Max en 2021 !
Haut de page