Pourquoi des utilisateurs de Signal, censés bénéficier d’une messagerie ultra-sécurisée, voient-ils aujourd’hui leurs conversations sauvegardées ciblées par des pirates ? Voilà la question brûlante que soulève une récente vague d’attaques de phishing dévoilée récemment. Nos informations révèlent un modus operandi inquiétant : les hackers n’hésitent plus à se faire passer pour le support officiel de Signal pour dérober, non pas les comptes, mais les précieuses clés de récupération de sauvegardes. Mais quels sont les risques réels et qui est visé dans cette nouvelle offensive ?
L’alerte est venue d’un analyste du Washington Post, Josh Rogin, qui a partagé la copie d’un faux message émanant d’un faux « Signal Support ». Les hackers y assurent que, pour « sauver » vos données d’une perte définitive, il faut leur transmettre la clé de récupération. Tentant, non ? Et pourtant, la manoeuvre est d’une simplicité déconcertante : faire appel à la confiance que vous placez déjà dans l’application pour vous manipuler. Est-ce une méthode isolée ou le symptôme d’une nouvelle génération d’escroqueries ciblant le chiffrement et la confiance numérique ?
Les militants anti-Parti Communiste Chinois ne seraient pas les seuls à en être victimes. Selon Mohammed Al-Maskati d’Access Now, d’autres profils d’utilisateurs ont reçu ce type de message, ce qui suggère une campagne d’ampleur indéterminée. S’agit-il d’un groupe de hackers organisé ou d’une méthode désormais partagée entre plusieurs factions ? Le mystère demeure, mais une certitude : obtenir la clé de récupération n’est qu’un début, car il faut ensuite parvenir à prendre le contrôle du compte cible.
Dans un monde où la confiance numérique s’effrite, Signal rappelle qu’aucune demande de clé, code ou PIN ne viendra jamais de leur part en premier.
Du côté de Signal, la réaction est rapide. Meredith Whittaker, la présidente, affirme que l’équipe de sécurité est sur le pont : « Nous surveillons activement la situation et travaillons à des mesures de protection. » Mais n’est-ce pas déjà trop tard pour ceux qui ont baissé la garde ? La parade officielle reste claire : Signal ne contactera jamais un utilisateur pour lui demander ses identifiants ou une clé de sauvegarde. Cette mise en garde, souvent relayée mais trop peu prise en compte, est pourtant essentielle à la survie numérique de tout utilisateur.
Comment reconnaître une telle attaque ? Le message frauduleux reprend les codes du support officiel, jouant sur l’urgence et la peur de perdre ses données : « Ceci lie votre sauvegarde à votre compte. Sans action, vous risquez de tout perdre. » L’attaque vise spécifiquement les archives – photos, messages, documents – là où les précédents assauts consistaient surtout à usurper une identité pour accéder aux contacts, mais pas à l’historique des conversations.
Depuis l’arrivée, l’an dernier, de la fonction « Secure Backup » sur Signal, la protection repose en grande partie sur la confidentialité d’une clé de récupération, censée ne jamais quitter l’appareil de l’utilisateur. Mais alors, où est la faille ? La faille, c’est l’humain : rien n’oblige un utilisateur à garder la main sur sa propre clé. Cette nouvelle campagne cible ce talon d’Achille, un mot de passe trop exposé, écrit sur un bout de papier ou partagé à la légère.
Le développement de telles attaques démontre que les hackers n’ont pas baissé les bras : après avoir tenté de prendre le contrôle des comptes via le numéro de téléphone, ils s’attaquent désormais à la mémoire numérique – le passé sauvegardé, là où les souvenirs et les preuves pourraient être exploités. Signal propose des mécanismes de défense comme Registration Lock, mais combien d’utilisateurs prennent la peine de les activer ? Faut-il s’attendre à une escalade encore plus sophistiquée ?
Dans cette bataille invisible pour le contrôle de la donnée, la vigilance reste le dernier rempart. Mais face à des stratagèmes de plus en plus convaincants, l’utilisateur lambda pourra-t-il continuer à différencier le vrai du faux ?
Source : Techcrunch
