Résumé
Pendant l’été 2022, Twilio, la société qui fournit à Signal des services de vérification de numéros de téléphone, a subi une attaque par hameçonnage. Voici ce que nos utilisateurs doivent savoir :
- Nos utilisateurs peuvent être rassurés : leurs messages, contacts, renseignements, numéros bloqués et autres données personnelles et privées restent sécurisés et non affectés.
- Seuls 1 900 utilisateurs seraient concernés. Le fraudeur aurait tenté d'enregistrer leur numéro sur un autre appareil ou d'utiliser leur numéro sur Signal. Twilio a depuis maîtrisé cette attaque. Par rapport au nombre d'utilisateurs Signal, il s'agit d'un très faible pourcentage et donc d'un nombre de victimes non significatif.
Ces 1 900 utilisateurs ont été notifiés et invités à ré-installer Signal sur leurs appareils. Si vous avez reçu un SMS de la part de Signal contenant un lien redirigeant vers un article du centre d’aide, veuillez suivre les étapes suivantes :
- Installez, puis ouvrez Signal sur votre téléphone pour y enregistrer à nouveau votre compte si l'application vous y invite.
- Pour une meilleure protection de votre compte, nous vous invitons à activer le verrouillage de l'enregistrement dans les paramètres de l'application. Nous avons développé cette fonctionnalité afin de protéger nos utilisateurs de telles attaques.
Que s’est-il passé exactement ?
Twilio, la société qui fournit à Signal des services de vérification de numéros de téléphone, a subi une attaque par hameçonnage. Nous avons mené une enquête sur l’incident et déterminé ce qui suit.
- Un fraudeur est parvenu à accéder aux données du service client de Twilio par hameçonnage. Pour environ 1 900 utilisateurs, soit 1) leur numéro a été détecté sur un autre compte Signal, soit 2) un code de vérification par SMS pour s'enregistrer sur Signal a été détecté.
- Durant cette période, le fraudeur a pu accéder aux données du service client de Twilio puis utiliser les numéros de téléphone récupérés sur un autre appareil grâce au code de vérification par SMS. L'accès est désormais bloqué et l'attaque terminée suite à l'intervention de Twilio.
- Sur 1 900 utilisateurs ciblés, l’attaquant a recherché trois numéros précis et l’un de ces trois utilisateurs nous a signalé que son compte avait été réinscrit.
Nous tenons à préciser que l’attaquant n'a eu accès à aucun historique de messages, aucune information de profil et aucune liste de contacts. L’historique n’est stocké que sur votre appareil : Signal n’en conserve aucune copie. Votre liste de contacts, vos informations de profil, les numéros bloqués et autres données, ne peuvent être récupérés qu’avec un code PIN Signal. Or, l’attaquant n’a paseu accès à votre code PIN lors de cet incident – et nul ne peut y accéder. Toutefois, si un pirate parvenait à réenregistrer un compte, il pourrait envoyer et recevoir des messages Signal depuis le numéro de téléphone concerné.
Nous avons mis en place les mesures suivantes pour protéger les utilisateurs concernés :
- Les 1 900 utilisateurs potentiellement concernés ont vu leur compte Signal désactivé sur tous leurs appareils sur lesquels l’application avait été installée (ou sur lesquels le fraudeur avait créé un compte) et ont été invités à réinscrire leur compte Signal avec leur numéro de téléphone sur l’appareil de leur choix.
- Tous les 1 900 numéros concernés ont reçu un SMS d’avertissement.
Le 15 août, ces utilisateurs ont reçu un message d’information leur demandant de ré-installer Signal avec leur numéro de téléphone. Cette opération s’est achevée le 16 août.
C’est pour parer à ce type d’attaque téléphonique que Signal a développé des fonctionnalités telles que le blocage d’inscription et le code PIN Signal. Nous encourageons vivement les utilisateurs à activer le blocage d’inscription. Si nous ne pouvons pas régler tous les problèmes du secteur des télécom à nous seuls, nous allons collaborer avec Twilio et d’autres acteurs de l’écosystème, afin de renforcer leur sécurité pour protéger les utilisateurs de Signal.
Cet incident m’a-t-il affecté ?
- D’après Twilio, 1 900 utilisateurs auraient potentiellement été concernés. Chacun d'eux a reçu une notification par SMS à partir du 15 août. L'opération de notification a commencé le 15 août et s’est achevée le 16 août. Les profils concernés ont reçu le message suivant : « Ceci est un message de Signal Messenger visant à sécuriser votre compte Signal. Ouvrez l’application Signal et créez votre compte à nouveau. Plus d’informations : https://signal.org/smshelp »
- Si une bannière indiquant que votre appareil n'est plus reconnu s'affiche lorsque vous ouvrez Signal, il se peut que vous fassiez partie des personnes concernées. Mais il peut y avoir d'autres raisons comme une longue période d'inactivité.
Mes données personnelles ont-elles été volées ou piratées ?
Non. Avec Signal, vos données restent votre propriété et non la nôtre. Signal n’a pas accès à vos messages, listes de contacts, renseignements, numéros bloqués et autres données personnelles. En outre, Twilio n’a pas non plus accès à ces données, ni le chemin d’accès par lequel a pu passer le fraudeur. Cependant, si un fraudeur était parvenu à réinscrire un compte pendant l’attaque de Twilio, il est possible que celui-ci ait envoyé ou reçu des messages depuis ce numéro de téléphone sur Signal.
Un des contacts avec qui j’ai échangé peut-il être concerné ?
Au vu du petit nombre de victimes, la probabilité est très faible. Mais si vous souhaitez en savoir plus, vous pouvez contacter ces personnes et leur demander s’ils ont reçu un SMS de la part de Signal les informant de l’incident et les invitant à réinscrire leur compte.
Que faire ?
Nous vous invitons vivement à activer le blocage d’inscription. Associée à un code PIN Signal, l’option de blocage d’inscription renforce la sécurité de votre compte Signal grâce à une vérification supplémentaire lors du processus d’inscription. Pour ce faire, depuis votre profil, accédez à Paramètres Signal > Compte > Blocage d’inscription.
Quelles sont les mesures prises par Signal pour éviter que de tels scénarios se reproduisent ?
Nous travaillons activement avec Twilio et d’autres prestataires pour les aider à renforcer leur sécurité. Côté utilisateurs, nous recommandons l’activation du blocage d’inscription.