Signal a introduit de nouveaux avertissements de sécurité intégrés à l’application et des invites de confirmation, conçus pour protéger les utilisateurs contre le phishing et les attaques d’ingénierie sociale ciblant la plateforme de messagerie chiffrée.
Ces changements interviennent après une vague d’attaques visant des politiciens, journalistes, diplomates et responsables militaires en Europe, en particulier en Allemagne, où des acteurs malveillants se sont fait passer pour le personnel de soutien de Signal afin de détourner des comptes.
Les nouvelles protections de Signal ajoutent des frictions supplémentaires lorsque les utilisateurs reçoivent des messages de contacts inconnus ou tentent d’interagir avec des profils suspects. L’application affichera désormais des messages d’avertissement plus forts et des confirmations supplémentaires destinées à donner plus de temps aux utilisateurs pour évaluer la légitimité d’une demande avant de répondre.
La présidente de Signal, Meredith Whittaker, a déclaré que les attaques ne concernaient pas de vulnérabilités dans le chiffrement ou le code source de Signal. Au lieu de cela, les attaquants se sont appuyés sur des tactiques d’ingénierie sociale pour manipuler les utilisateurs afin qu’ils partagent des codes de vérification, des codes PIN, ou lient leurs comptes à des appareils contrôlés par les attaquants.
Une technique couramment rapportée impliquait des attaquants se faisant passer pour des comptes « Signal Support » et envoyant des messages affirmant qu’il y avait un problème de sécurité nécessitant une action immédiate. Les victimes ont ensuite été instruites de scanner des codes QR ou de fournir des informations d’authentification permettant aux attaquants d’accéder à leurs comptes à distance.
En réponse, Signal rend désormais plus difficile la confiance accidentelle envers des contacts inconnus. L’entreprise a indiqué que l’acceptation de nouvelles demandes de messages provenant de numéros inconnus ne se fera plus en un seul tapage et déclenchera plutôt des avis d’avertissement plus clairs.
L’application a également élargi la messagerie éducative, rappelant aux utilisateurs que les employés de Signal ne les contacteront jamais directement via les discussions pour demander des codes PIN, des codes de vérification, des clés de chiffrement ou des identifiants de compte.
Les agences de renseignement allemandes avaient déjà averti que la campagne de phishing était probablement liée à des acteurs malveillants parrainés par l’État. Les enquêteurs ont indiqué que les attaquants ciblaient des individus très en vue en utilisant des fonctionnalités légitimes de Signal plutôt que des malwares ou des exploits logiciels.
Les autorités ont averti qu’une fois que les attaquants auraient accès aux comptes, ils pourraient lire des conversations privées, surveiller les groupes de discussion, consulter les listes de contacts et se faire passer pour des victimes lors d’autres attaques.
Les utilisateurs de Signal sont encouragés à activer le verrouillage d’enregistrement, à examiner régulièrement les appareils liés et à éviter d’interagir avec des messages ou codes QR liés au support inattendu. Les experts en sécurité recommandent également de vérifier les requêtes via des canaux de communication séparés avant de partager les informations d’authentification.