Les pirates ciblent les utilisateurs de Signal pour tenter de voler leurs sauvegardes de discussion dans le cadre d’une nouvelle campagne de piratage, a appris TechCrunch.
Mercredi, l’analyste du Washington Post, Josh Rogin, a publié une capture d’écran d’un nouveau type d’attaque contre les utilisateurs de Signal, dans laquelle des pirates se font passer pour l’équipe d’assistance de l’application et avertissent la cible que leurs discussions et médias sauvegardés « risquent d’être perdus de manière permanente en raison d’un problème de synchronisation ». Pour éviter cela, indique le message, la cible doit partager la clé de récupération utilisée pour accéder à ses sauvegardes en ligne dans le chat avec les pirates.
« Cela relie votre sauvegarde existante à votre compte. Dans le cas contraire, vous risquez de perdre l’accès à votre compte et à toutes les données stockées », lit-on dans le message prétendant provenir d’un compte appelé Signal Support.
Rogin a déclaré que plusieurs militants anti-Parti communiste chinois avaient reçu ce message malveillant.
Mohammed Al-Maskati, directeur de la ligne d’assistance sur la sécurité numérique d’Access Now, qui enquête sur les cyberattaques contre des journalistes, des dissidents et des militants des droits de l’homme, a déclaré à TechCrunch que deux personnes avaient partagé des messages similaires avec lui. Al-Maskati a déclaré que les deux hommes ne sont pas des militants chinois. Cela suggère que la campagne de piratage informatique pourrait être plus répandue et cibler d’autres communautés, ou que différents groupes de pirates informatiques pourraient utiliser la même stratégie.
On ne sait pas exactement dans quelle mesure la campagne de piratage a été efficace. Al-Maskati a déclaré que le vol des clés de récupération de la victime pour les sauvegardes de ses discussions n’est qu’une étape de l’attaque, et que les pirates doivent encore prendre le contrôle du compte de la victime.
En général, ce type d’attaque concerne les cibles de phishing, c’est-à-dire les inciter à partager des informations importantes et privées avec les pirates. Dans ce cas particulier, les pirates se font passer pour l’équipe d’assistance de Signal pour exploiter la confiance de la cible dans l’application et l’organisation qui la sous-tend.
Il est important de noter que Signal déclare qu’il « ne contactera jamais » les utilisateurs en premier et ne leur demandera jamais leur code d’enregistrement, leur code PIN ou leur clé de récupération. Cela signifie que toute discussion prétendant provenir de « Signal Support » provient en réalité de pirates malveillants. L’organisation a publiquement mis en garde contre ce type précis d’attaques le mois dernier.
Contactez-nous
Avez-vous plus d’informations sur ces attaques contre les utilisateurs de Signal ? Ou d’autres attaques similaires ? Depuis un appareil non professionnel, vous pouvez contacter Lorenzo Franceschi-Bicchierai en toute sécurité sur Signal au +1 917 257 1382, ou via Telegram et Keybase @lorenzofb, ou par e-mail.
Bien qu’il y ait eu plusieurs campagnes de pirates se faisant passer pour le support de Signal ces derniers mois, il s’agit d’un nouveau type d’attaque car elle cible spécifiquement les sauvegardes, qui peuvent contenir les anciennes discussions, photos et documents d’une victime.
Les campagnes de piratage précédentes ciblant les utilisateurs de Signal tentaient de détourner le compte d’une victime, puis d’usurper son identité, souvent dans le but potentiel de voler les contacts de la victime ou d’entamer des conversations avec d’autres personnes comme si elles étaient le propriétaire du compte. Dans ces cas, les pirates n’ont pas accès aux messages passés, car les attaques reposent sur la réenregistrement du compte de la victime sur un appareil qu’ils contrôlent. En raison de la conception de Signal, les anciens messages n’apparaissent pas sur le nouvel appareil.
Les pirates peuvent s’emparer des comptes Signal en détournant le numéro de téléphone de quelqu’un, par exemple. Mais Signal propose des fonctionnalités de sécurité optionnelles pour se protéger contre cette attaque, telles que le verrouillage d’enregistrement, qui empêche les attaquants de lier le numéro d’une cible à un nouvel appareil à moins qu’ils ne volent le code PIN de la cible.
Dans ce scénario, une façon de voir les messages plus anciens serait d’accéder à la sauvegarde en ligne d’une victime, ce qui nécessite la clé de récupération.
L’année dernière, Signal a lancé Secure Backups, une nouvelle fonctionnalité opt-in qui permet aux utilisateurs de télécharger le contenu de leur compte sur les serveurs de Signal, qui est crypté avec une clé de récupération qui, selon l’organisation, n’est « jamais partagée avec les serveurs de Signal » et « ne quitte jamais » l’appareil des utilisateurs. Signal indique que les utilisateurs doivent stocker la clé de récupération en toute sécurité sur un ordinateur portable ou dans un gestionnaire de mots de passe.
« Sans votre clé de récupération unique, personne (y compris Signal) ne peut lire, déchiffrer ou restaurer les données de votre archive de sauvegarde sécurisée », a déclaré Signal.
Cela signifie que seul l’utilisateur peut accéder à ses archives dans un scénario dans lequel il enregistre son compte sur un nouveau téléphone, télécharge la sauvegarde cryptée à partir des serveurs de Signal, puis la déchiffre avec la clé de récupération.
Signal n’a pas répondu à une demande de commentaire.
Lorsque vous achetez via des liens dans nos articles, nous pouvons gagner une petite commission. Cela n’affecte pas notre indépendance éditoriale.
