Signal n’est pas directement responsable de la fuite, qui est la conséquence d’un piratage de Twilio suite à une attaque par phishing. Des données de 125 de ses clients, dont Signal, « ont été consultées par des acteurs malveillants pendant une période limitée ».
Signal explique de son côté que, « pour environ 1 900 utilisateurs, un attaquant aurait pu tenter de réenregistrer leur numéro sur un autre appareil ou apprendre que leur numéro était enregistré sur Signal ». Dans le lot, le pirate « a explicitement recherché trois numéros », sans plus de précision. Les 1 900 utilisateurs concernés ont été prévenus.
Mais cela s’arrête là : « Tous les utilisateurs peuvent être assurés que l'historique de leurs messages, leurs listes de contacts, informations de profil, les personnes qu'ils ont bloquées et d'autres données personnelles restent privées et sécurisées, elles n'ont pas été affectées ».
Commentaires (15)
#1
Vous pourriez préciser ce qu’est Twilio, non ?
Je précise pour ceux qui ne savent pas : c’est un fournisseur de service SMS. Comme pour s’enregistrer dans l’application Signal, on a besoin d’une vérification par SMS, certains doivent passer par ce genre de service. Mais de toute façon, même en compromettant le compte, on peut pas accéder à l’historique. Et normalement, si les gens ne désactivent pas le NIP qui est censé être par défaut (un mot de passe lié au numéro de téléphone), si le compte est compromis, tous vos contacts sont au courant.
Encore une preuve que Signal est la messagerie grand public la plus sécurisée. Bref il n’y a rien eu de piraté.
#1.1
Précision utile, merci
#1.2
Pour aller plus loin, la recommandation de Signal est plutôt d’activer le NIP en cas de nouvel enregistrement du numéro de téléphone.
Chose qui n’est pas activée par défaut dans Signal.
#1.3
C’est pas par défaut tu es sur ? Il me semblait que quand ils ont introduit la fonctionnalité, justement on ne pouvait pas la désactiver, et que cette fonctionnalité est arrivée après.
#1.4
Toutes les personnes que j’ai mises récemment sur Signal ont dû mettre un NIP (je crois qu’il y a une option pour sauter l’étape).
#2
Ne pas activer le NIP, c’est n’imp.
#3
Je précise un truc, Twilio est le fournisseur de service SMS de Signal, pas des utilisateurs. Ce service permet de générer des numéros de vérifications à envoyer par sms.
#4
https://www.zataz.com/tentative-de-piratage-de-comptes-signal/ explique comment configurer le verrouillage de l’enregistrement du NIP.
https://www.01net.com/actualites/signal-alternative-whatsapp-victime-piratage.html le processus de piratage, et c’est pas piqué des hannetons.
Je cite : « Pour les 1 900 utilisateurs potentiellement affectés, nous annulons l’enregistrement de Signal sur tous les appareils utilisés actuellement (ou auxquels un attaquant les a enregistrés) et leur demanderons de se réenregistrer », précise Signal.
Quand même…
#5
Un peu HS, mais perso je trouve cela étrange d’avoir traduit NIP en français. Même en français, on parle de code PIN, pas de code NIP…
#5.1
Etrange ? Je n’aurais pas dit un tel mot. Plutôt inhabituel. Mais pourquoi pas ?
#6
Wow ça faisait des années que j’étais pas passé sur ce site lol, ça respire tjs pas la qualité.
Il dit 2 fois que c’est une application Suisse (Wtf ??), il indique qu’il y a “une option VPN proposée” (Wtf ??) et l’article a de nombreuses fautes. Je vois que ça n’a pas changé, je ne comprendrais jamais que ce site ait une telle audience 🙄.
#7
Le site me dit vaguement quelque chose, en tout cas, Damien Bancal semble bien porter son nom, aux vues des fautes grossières qui peuvent être vérifiés en deux cliques sur Google, je me dis que les autres articles doivent être bidonnées eux-aussi, clairement un site qui mérite de fermer avec la démission de son auteur pour imcompétence journalisitique grave + fausses informations.
PS : Sa phrase d’accroche “S’informer, c’est déjà se sécuriser !” n’a aucun sens et signiferai plutôt l’inverse ici haha.
#8
Nan mais carrément, balancer deux grosses débilités comme ça en un article c’est qd même fort. Clairement c’est juste un type qui fait dla com’ en fait. Et t’as intérêt d’avoir un ublock origin, son site est bourré de pub et de tracker 🤢
#9
#10
Oui c’est étrange de ne pas avoir traduit “NIP” en “PIN” !
J’étais prêt à aller chercher ce que c’était, heureusement que les commentaires de la communauté sont constructifs !