Résumé
Pendant l’été 2022, Twilio, la société qui fournit à Signal des services de vérification de numéros de téléphone, a subi une attaque par hameçonnage. Voici ce que nos utilisateurs doivent savoir :
- Nos utilisateurs peuvent être rassurés : leurs messages, contacts, renseignements, numéros bloqués et autres données personnelles et privées restent sécurisés et non affectés.
- Seuls 1 900 utilisateurs seraient concernés. Le fraudeur aurait tenté d'enregistrer leur numéro sur un autre appareil ou d'utiliser leur numéro sur Signal. Twilio a depuis maîtrisé cette attaque. Par rapport au nombre d'utilisateurs Signal, il s'agit d'un très faible pourcentage et donc d'un nombre de victimes non significatif.
Ces 1 900 utilisateurs ont été notifiés et invités à ré-installer Signal sur leurs appareils. Si vous avez reçu un SMS de la part de Signal contenant un lien redirigeant vers un article du centre d’aide, veuillez suivre les étapes suivantes :
- Installez, puis ouvrez Signal sur votre téléphone pour y enregistrer à nouveau votre compte si l'application vous y invite.
- Pour une meilleure protection de votre compte, nous vous invitons à activer le verrouillage de l'enregistrement dans les paramètres de l'application. Nous avons développé cette fonctionnalité afin de protéger nos utilisateurs de telles attaques.
Que s’est-il passé exactement ?
Twilio, la société qui fournit à Signal des services de vérification de numéros de téléphone, a subi une attaque par hameçonnage. Nous avons mené une enquête sur l’incident et déterminé ce qui suit.
- Un fraudeur est parvenu à accéder aux données du service client de Twilio par hameçonnage. Pour environ 1 900 utilisateurs, soit 1) leur numéro a été détecté sur un autre compte Signal, soit 2) un code de vérification par SMS pour s'enregistrer sur Signal a été détecté.
- Durant cette période, le fraudeur a pu accéder aux données du service client de Twilio puis utiliser les numéros de téléphone récupérés sur un autre appareil grâce au code de vérification par SMS. L'accès est désormais bloqué et l'attaque terminée suite à l'intervention de Twilio.
- Sur 1 900 utilisateurs ciblés, le fraudeur a recherché précisément trois numéros et, parmi ces 3 utilisateurs, un signalement a été recueilli pour un compte ayant été à nouveau enregistré.
Nous tenons à préciser que le fraudeur n'a pas eu accès à l'historique des messages, ni aux renseignements personnels et aux listes de contacts. L'historique des messages est uniquement stocké sur votre appareil. Signal ne conserve aucune copie. Votre liste de contact, vos renseignements personnels, les numéros bloqués, et autres données ne peuvent être récupérés qu'avec un code NIP Signal qui n'a pas été (et ne peut pas être) récupéré dans ce type d'attaque. Toutefois, si un pirate parvenait à ré-enregistrer un compte, il pourrait envoyer et recevoir des messages Signal depuis ce même numéro de téléphone.
Nous avons mis en place les mesures suivantes pour protéger les utilisateurs concernés :
- Les 1 900 utilisateurs potentiellement concernés ont vu leur compte Signal désactivé sur tous leurs appareils sur lesquels l’application avait été installée (ou sur lesquels le fraudeur avait créé un compte) et ont été invités à réinscrire leur compte Signal avec leur numéro de téléphone sur l’appareil de leur choix.
- Tous les 1 900 numéros concernés ont reçu un SMS d’avertissement.
Le 15 août, ces utilisateurs ont reçu un message d’information leur demandant de ré-installer Signal avec leur numéro de téléphone. Cette opération s’est achevée le 16 août.
Ce genre d'attaque téléphonique dont a été victime Twilio est un exemple de vulnérabilité contre laquelle Signal a développé des fonctionnalités telles que le verrouillage de l'enregistrement et le NIP Signal pour plus de protection. Nous encourageons vivement les utilisateurs à activer le verrouillage de l'enregistrement. Si nous ne disposons pas encore de toutes les armes contre ce problème afférent au secteur des télécommunications, nous nous engageons à oeuvrer, avec Twilio et d'autres prestataires, à renforcer la sécurité des points critiques et essentiels à nos utilisateurs.
Cet incident m’a-t-il affecté ?
- D’après Twilio, 1 900 utilisateurs auraient potentiellement été concernés. Chacun d'eux a reçu une notification par SMS à partir du 15 août. L'opération de notification a commencé le 15 août et s’est achevée le 16 août. Les profils concernés ont reçu le message suivant : « Ceci est un message de Signal Messenger visant à sécuriser votre compte Signal. Ouvrez l’application Signal et créez votre compte à nouveau. Plus d’informations : https://signal.org/smshelp »
- Si une bannière indiquant que votre appareil n'est plus reconnu s'affiche lorsque vous ouvrez Signal, il se peut que vous fassiez partie des personnes concernées. Mais il peut y avoir d'autres raisons comme une longue période d'inactivité.
Mes données personnelles ont-elles été volées ou piratées ?
Non. Avec Signal, vos données restent votre propriété et non la nôtre. Signal n’a pas accès à vos messages, listes de contacts, renseignements, numéros bloqués et autres données personnelles. En outre, Twilio n’a pas non plus accès à ces données, ni le chemin d’accès par lequel a pu passer le fraudeur. Cependant, si un fraudeur était parvenu à réinscrire un compte pendant l’attaque de Twilio, il est possible que celui-ci ait envoyé ou reçu des messages depuis ce numéro de téléphone sur Signal.
Un des contacts avec qui j’ai échangé peut-il être concerné ?
Au vu du petit nombre de victimes, la probabilité est très faible. Mais si vous souhaitez en savoir plus, vous pouvez contacter ces personnes et leur demander s’ils ont reçu un SMS de la part de Signal les informant de l’incident et les invitant à réinscrire leur compte.
Que dois-je faire ?
Nous invitons vivement nos utilisateurs à activer le blocage de l’inscription sur leur compte. Ajouter un code NIP Signal accroît la sécurité de votre compte grâce à une vérification supplémentaire au processus d’enregistrement. Pour ce faire, rendez-vous dans les Paramètres Signal (profil) > Compte > Blocage de l’inscription.
Quelles sont les mesures prises par Signal pour éviter que cela se reproduise ?
Nous travaillons activement avec Twilio et d’autres prestataires pour gagner en sécurité. De votre côté, nous vous recommandons d’activer le blocage de l’inscription.