Signal : 1 900 numéros de téléphone dans la nature suite à une attaque sur Twilio
Le 17 août 2022 à 06h40
1 min
Logiciel
Logiciel
Signal n’est pas directement responsable de la fuite, qui est la conséquence d’un piratage de Twilio suite à une attaque par phishing. Des données de 125 de ses clients, dont Signal, « ont été consultées par des acteurs malveillants pendant une période limitée ».
Signal explique de son côté que, « pour environ 1 900 utilisateurs, un attaquant aurait pu tenter de réenregistrer leur numéro sur un autre appareil ou apprendre que leur numéro était enregistré sur Signal ». Dans le lot, le pirate « a explicitement recherché trois numéros », sans plus de précision. Les 1 900 utilisateurs concernés ont été prévenus.
Mais cela s’arrête là : « Tous les utilisateurs peuvent être assurés que l'historique de leurs messages, leurs listes de contacts, informations de profil, les personnes qu'ils ont bloquées et d'autres données personnelles restent privées et sécurisées, elles n'ont pas été affectées ».
Le 17 août 2022 à 06h40
Commentaires (15)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 17/08/2022 à 08h03
Vous pourriez préciser ce qu’est Twilio, non ?
Je précise pour ceux qui ne savent pas : c’est un fournisseur de service SMS. Comme pour s’enregistrer dans l’application Signal, on a besoin d’une vérification par SMS, certains doivent passer par ce genre de service. Mais de toute façon, même en compromettant le compte, on peut pas accéder à l’historique. Et normalement, si les gens ne désactivent pas le NIP qui est censé être par défaut (un mot de passe lié au numéro de téléphone), si le compte est compromis, tous vos contacts sont au courant.
Encore une preuve que Signal est la messagerie grand public la plus sécurisée. Bref il n’y a rien eu de piraté.
Le 17/08/2022 à 08h19
Précision utile, merci
Le 17/08/2022 à 09h04
Pour aller plus loin, la recommandation de Signal est plutôt d’activer le NIP en cas de nouvel enregistrement du numéro de téléphone.
Chose qui n’est pas activée par défaut dans Signal.
Le 17/08/2022 à 09h30
C’est pas par défaut tu es sur ? Il me semblait que quand ils ont introduit la fonctionnalité, justement on ne pouvait pas la désactiver, et que cette fonctionnalité est arrivée après.
Le 17/08/2022 à 16h14
Toutes les personnes que j’ai mises récemment sur Signal ont dû mettre un NIP (je crois qu’il y a une option pour sauter l’étape).
Le 17/08/2022 à 09h16
Ne pas activer le NIP, c’est n’imp.
Le 17/08/2022 à 11h38
Je précise un truc, Twilio est le fournisseur de service SMS de Signal, pas des utilisateurs. Ce service permet de générer des numéros de vérifications à envoyer par sms.
Le 17/08/2022 à 18h25
https://www.zataz.com/tentative-de-piratage-de-comptes-signal/ explique comment configurer le verrouillage de l’enregistrement du NIP.
https://www.01net.com/actualites/signal-alternative-whatsapp-victime-piratage.html le processus de piratage, et c’est pas piqué des hannetons.
Je cite : « Pour les 1 900 utilisateurs potentiellement affectés, nous annulons l’enregistrement de Signal sur tous les appareils utilisés actuellement (ou auxquels un attaquant les a enregistrés) et leur demanderons de se réenregistrer », précise Signal.
Quand même…
Le 17/08/2022 à 20h52
Un peu HS, mais perso je trouve cela étrange d’avoir traduit NIP en français. Même en français, on parle de code PIN, pas de code NIP…
Le 18/08/2022 à 19h11
Etrange ? Je n’aurais pas dit un tel mot. Plutôt inhabituel. Mais pourquoi pas ?
Le 17/08/2022 à 21h04
Wow ça faisait des années que j’étais pas passé sur ce site lol, ça respire tjs pas la qualité.
Il dit 2 fois que c’est une application Suisse (Wtf ??), il indique qu’il y a “une option VPN proposée” (Wtf ??) et l’article a de nombreuses fautes. Je vois que ça n’a pas changé, je ne comprendrais jamais que ce site ait une telle audience 🙄.
Le 19/08/2022 à 07h09
Le site me dit vaguement quelque chose, en tout cas, Damien Bancal semble bien porter son nom, aux vues des fautes grossières qui peuvent être vérifiés en deux cliques sur Google, je me dis que les autres articles doivent être bidonnées eux-aussi, clairement un site qui mérite de fermer avec la démission de son auteur pour imcompétence journalisitique grave + fausses informations.
PS : Sa phrase d’accroche “S’informer, c’est déjà se sécuriser !” n’a aucun sens et signiferai plutôt l’inverse ici haha.
Le 19/08/2022 à 10h22
Nan mais carrément, balancer deux grosses débilités comme ça en un article c’est qd même fort. Clairement c’est juste un type qui fait dla com’ en fait. Et t’as intérêt d’avoir un ublock origin, son site est bourré de pub et de tracker 🤢
Le 19/08/2022 à 11h01
Le 22/08/2022 à 11h40
Oui c’est étrange de ne pas avoir traduit “NIP” en “PIN” !
J’étais prêt à aller chercher ce que c’était, heureusement que les commentaires de la communauté sont constructifs !