Skip to main content

Signal présente des failles de sécurité majeures - comme un bon nombre d’applications de messagerie

Signal
(Crédit photo: Shutterstock)

Les experts en cybersécurité issus de l’équipe Project Zero de Google ont signalé un essor de vulnérabilités localisées au sein de Signal, Google Duo, Facebook Messenger et quelques autres applications de messagerie. Ces brèches permettraient à des hackers d'écouter les utilisateurs desdites applications, sans leur permission.

« Le 29 janvier 2019, une vulnérabilité sérieuse a été découverte dans FaceTime. En appelant sa cible, le pirate informatique peut forcer une connexion sans interagir avec son destinataire. Une fois son méfait accompli, le pirate est capable d'écouter l'environnement de sa cible à son insu et en se passant de son consentement », explique Natalie Silvanovich, ingénieure en sécurité chez Project Zero.

« Le bug est remarquable tant par son impact que par son mécanisme. La capacité de forcer un appareil cible à transmettre un flux audio à un appareil attaquant, sans obtenir l'exécution du code, constitue un processus inhabituel et sans précédent de la part d'une vulnérabilité ».

Suite à la découverte de la faille de sécurité de FaceTime, Project Zero a trouvé des brèches similaires affectant Signal, Google Duo, Facebook Messenger, JioChat et Mocha. Aucun problème n'a été référencé en revanche sur les applications Telegram ou Viber, elles-mêmes sujettes de l’investigation.

Surveillance audio et vidéo

Ces failles de sécurité, dont l'exploitation n'a nécessité que peu de compétences techniques, ont toutes été corrigées depuis.

Dans la plupart des cas, elles ont tout de même permis à des utilisateurs non autorisés de surveiller d’autres membres de manière plus ou moins invasive. Ainsi, alors que les brèches sur Signal se limitaient à de l’écoute audio, celles associées à Google Duo poussaient jusqu’à la transmission de plusieurs paquets vidéo.

L'enquête de Project Zero n'a porté que sur des appels peer-to-peer, les fonctions d'appel de groupe n'ont pas été examinées. Mme Silvanovich a déclaré que ces dernières pourraient, dans un futur proche, révéler des mauvaises surprises supplémentaires.

Via Bleeping Computer