Le chercheur en sécurité Matthieu Suiche a pointé récemment ce qui ressemble à une faille de sécurité dans la messagerie Signal. Elle se situerait dans la procédure de migration depuis l’extension Chrome vers la version Desktop.

L’utilisateur est ainsi invité à choisir l’emplacement d’une archive contenant ses données chiffrées (messages et médias). Problème, avant de créer cette archive, l’extension Chrome stocke ces informations en clair dans un autre endroit.

S’insurgeant sur Twitter, il a publié une capture montrant sa découverte et ouvert un ticket.

Chaque contact dispose ainsi d’un dossier nommé d’après son nom et son numéro de téléphone. À l’intérieur, des informations en clair sous forme de fichiers JSON, contenant messages et pièces jointes. La procédure a été testée sous macOS, Bleeping Computer l’ayant reproduite avec succès sous Linux Mint.

Il n’est cependant pas dit que les développeurs de Signal s’attardent sur ce problème. L’extension Chrome est en effet en fin de vie, son retrait intervenant dans moins d’un mois. Une carrière qui se termine précisément parce que la version Desktop permet de s’affranchir de tout navigateur.

Bleeping note que cette mouture Desktop a elle-même son lot de problèmes, dont des difficultés à effacer les pièces jointes du système local de fichiers après suppression d’une conversation.

Signal n’a pour l’instant pas réagi.