Signal, l’application populaire de messagerie cryptée, a signalé qu’elle a… les numéros de téléphone et les codes de vérification envoyés par SMS de 1 900 de ses utilisateurs pourraient être entre les mains de pirates informatiques après que Twilio, une société qui fournit des services de vérification à la plateforme, a subi une violation de sécurité au début du mois d’août. Bien que Signal confirme que l’historique des messages, les informations de profil et les données de contact sont sécurisés, ce piratage illustre une fois de plus pourquoi la vérification des SMS n’est pas une bonne idée.

La faille de sécurité chez Twilio s’est produite le 4 août, lorsque certains de ses employés ont été victimes d’un piratage informatique hameçonnage et, trompés, ont fourni aux attaquants leurs données et leurs mots de passe. Dans un communiqué, la société a déclaré que les pirates ont utilisé les comptes des employés pour accéder à différents systèmes internes et voler les données de certains de ses clients. Parmi eux, Signal, à ceux qui fournissent des services de vérification des SMS.

Les attaquants, comme l’a vérifié la plateforme de messagerie elle-même, auraient obtenu les numéros de téléphone et les codes qui leur sont associés, de près de 2 000 de ses utilisateurs. Un « très faible pourcentage », précise Signal, mais qui implique un désagrément très important, car il permettait d’accéder aux comptes d’autres utilisateurs.

Pour environ 1 900 utilisateurs, un attaquant aurait pu essayer de réenregistrer leur numéro sur un autre appareil ou apprendre que leur numéro était enregistré auprès de Signal.

Accès au compte signal pourrait avoir permis aux pirates d’envoyer et de recevoir des messages. Ils n’ont cependant pas accès aux conversations précédentes. Ils n’ont pas non plus accès aux informations du profil ou aux contacts. Tout cela est protégé par un code PIN qui doit être saisi manuellement par le propriétaire du compte et qui n’était pas entre les mains de Twilio.

La vérification par SMS n’est pas une bonne idée, et l’attaque contre Signal le prouve



La vérification par SMS est une méthode simple de vérification d’un utilisateur, qui n’a pas besoin de se souvenir de mots de passe pour accéder à son compte. Des plateformes telles que Lime, Signal ou WhatsApp l’utilisent.

Il est également utilisé comme protection supplémentaire sur les plateformes qui prennent en charge la vérification en deux étapes. Dans ces cas, les utilisateurs, en plus de s’identifier avec leur nom d’utilisateur et leur mot de passe, ils doivent saisir un code PIN unique envoyé par SMS, qui expire également après utilisation.

L’envoi de ces codes par SMS n’est toutefois pas le plus idéal, car ils sont relativement faciles à obtenir. Surtout s’il s’agit de la méthode de vérification primaire (c’est-à-dire qu’elle n’est pas utilisée comme méthode secondaire dans un système de vérification en deux étapes).

Dans le cas de Signal, les attaquants ont pu voler les numéros de téléphone et leur code associé par le biais d’un hameçonnage à la société qui fournit à la plate-forme de messagerie le service d’envoi de codes. Mais accéder aux plates-formes internes en volant les identifiants des employés n’est pas le seul moyen de voler les codes de vérification. Certains pirates, par exemple, convainquent les victimes de transférer à leur insu des appels vers un autre numéro de téléphone (celui des attaquants) afin d’avoir accès à leur compte WhatsApp. Les attaquants enregistrent ensuite le compte sur un nouvel appareil. Une fois le code de vérification envoyé par SMS, ils demandent à recevoir le mot de passe par téléphone.

Il en va de même pour les codes d’authentification à deux facteurs (2FA). Certains d’entre eux sont également envoyés par SMS, et peuvent être exposés de la même manière. Il est donc préférable d’utiliser des plateformes qui génèrent ces clés aléatoires, comme Authy, iCloud ou Google Authenticator.

Quoi qu’il en soit, tant WhatsApp que Signal depuis peu, et de nombreuses autres plateformes qui maintiennent l’envoi de codes par SMS, permettent également des mesures d’accès supplémentaires. Parmi eux, les codes personnels. Ainsi, en plus de saisir le code qu’ils reçoivent par SMS, ils doivent également saisir un mot de passe afin de terminer l’enregistrement et d’utiliser l’application.