Signal est considérée par beaucoup comme l'application de messagerie la plus sécurisée de la planète, elle est même recommandée par le célèbre Edward Snowden à ceux qui souhaitent communiquer en toute sécurité avec toute personne souhaitant parler. Malheureusement, l'application Signal n'est pas aussi sécurisée que beaucoup le pensent, car une vulnérabilité XSS a été découverte et permet l'exploitation des versions Web de l'application Signal par n'importe qui, à tout moment.
Signal présente un si gros problème de sécurité que n'importe quel hacker peut l'exploiter sans que la victime n'interagisse avec le lien malveillant qui lui est envoyé et sans pouvoir bloquer de quelque manière que ce soit l'attaque du hacker. Toutes les versions de bureau de Signal sont concernées par ce problème de sécurité très grave, mais ceux qui utilisent les applications mobiles pour iPhone et Android devraient être protégés à 100 % contre une telle attaque, car les plateformes sont différentes.
Signal : problème majeur de sécurité des applications
Vidéo de la nouvelle attaque sur Signal. Je sais que ce n'est pas pareil, mais sur un ordinateur de bureau, je m'en tiendrai à PGP+email https://t.co/MkabYbgGW8 pic.twitter.com/DJRNBhBnTT
–Alfredo Ortega (@ortegaalfredo) 16 mai 2018
Signal ne peut pas se faire voler des informations très importantes avec cette vulnérabilité, mais l'attaquant peut obtenir des informations sur l'identité de la victime, ce qui constitue un problème majeur pour ceux qui utilisent l'application pour rester anonymes. La partie intéressante est que le problème a été résolu dans les versions officielles de Signal par l'entreprise, connu depuis avril, mais il n'a été résolu que maintenant, seulement 3 heures après la divulgation publique de la vulnérabilité.
"Une faille XSS est une nuisance dans n'importe quelle application, mais dans Signal, utilisé par les parties qui souhaitent les plus hauts niveaux de confidentialité, cela est amplifié. Un attaquant se faisant passer pour un contact pourrait utiliser cette faille pour envoyer un message contenant une URL malveillante afin de mettre en place une série de compromissions par injection de code à l’aide de balises image, audio ou iFrame, ou simplement pour faire planter le logiciel.
Signal a publié des mises à jour pour toutes les applications officielles, mais vous devez bien sûr les installer pour être protégé contre cette vulnérabilité très dangereuse, donc si vous utilisez la plateforme, recherchez les mises à jour disponibles. Malgré des problèmes de ce genre, Signal reste toujours la plateforme préférée de ceux qui souhaitent des conversations 100% sécurisées, et cela parce que les problèmes de sécurité sont résolus extrêmement rapidement afin que les utilisateurs disposent du plus haut niveau de sécurité.
