Bien que régulièrement saluée pour le très haut degré de confidentialité et de sécurité qu’elle apporte pour protéger les communications, l’application Signal souffre parfois de défauts d’ingénierie logicielle. Certains sont bénins et ne requièrent pas de publier précipitamment un patch de sécurité. D’autres en revanche sont plus redoutables et nécessitent par conséquent une réaction immédiate.
C’est ce qui s’est passé début octobre avec la publication de la version 4.47.7 de Signal sur Google Play.
La messagerie sécurisée, dont le lanceur d’alerte Edward Snowden vante les mérites dès qu’il en a l’occasion, était en effet victime d’un bug qui, en l’exploitant, la forçait à répondre à un appel audio, si l’utilisateur à l’autre bout du fil ne décrochait pas. L’émetteur d’un appel pouvait donc potentiellement appeler un contact et écouter discrètement toutes les conversations à portée du microphone du smartphone.
« À l’aide d’un client modifié, il est possible d’envoyer le message ‘connect’ à un appareil appelé lorsqu’un appel entrant est en cours, mais n’a pas encore été accepté par l’utilisateur. Cela permet de répondre à l’appel, même si l’utilisateur n’a pas interagi avec l’appareil », détaille Natalie Silvanovich, qui est à l’origine du rapport de sécurité publié le 28 septembre.
Divulgation responsable de la faille
L’existence de ce dysfonctionnement a été rendue publique le 4 octobre, quand il a été constaté que Signal a pris connaissance de l’incident et déployé une mise à jour bloquant ces appels forcés. La société Open Whisper Systems, qui supervise le développement de Signal, avait en tout 90 jours pour régler ce défaut de conception avant que Google n’en révèle les détails au public.
Natalie Silvanovich est en effet membre du projet Google Zéro, une équipe de travail qui déniche des vulnérabilités dans les logiciels et les rapporte selon les principes de la divulgation responsable. Les entreprises dont les programmes ont été auscultés sont contactées en privé par les spécialistes de la sécurité informatique et bénéficient alors d’un délai pour intervenir, avant que l’information ne devienne publique.
Il y a un an, l’experte informatique avait déjà repéré un souci relativement semblable, mais cette fois dans WhatsApp. Une brèche pouvait aboutir au plantage de l’application mobile lors d’un appel vidéo. La vulnérabilité a été corrigée depuis. Il est à noter que la version iOS de Signal souffre de la même défaillance, mais qui ne produit pas du tout les mêmes effets : en effet, l’appel ne peut aboutir à cause d’une erreur dans l’interface utilisateur. Plutôt ironique.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !