Signal, Bug qui tourne 1 smartphone en appareil d’écoute

L’application Signal, l’une des applications de messagerie les plus sécurisées, est victime d’un bug qui permet de forcer un smartphone recevant un appel à accepter cet appel automatiquement.

Signal, c’est quoi?

Signal est une application disponible sur Android et iOS permettant de communiquer de façon chiffrée. Il existe une application cliente pour les ordinateurs de bureau disponible pour Windows, macOS et les versions de Linux basées sur Debian (version 64 bits seulement) donc aussi Ubuntu mais aussi quelques autres comme Arch et ses dérivés (dépôts AUR). On peut aussi probablement utiliser Snappy/Snapd pour l’installer sur d’autres distributions. Cette version pour ordinateur de bureau utilise Electron. Il est possible de téléphoner en mode chiffré par ZRTP et d’envoyer des messages de texte chiffré par un protocole cryptographique libre nommé Signal Protocol (autrefois connu comme Protocole Axolotl).

Signal est développé par l’organisation Open Whisper Systems et est diffusé sous la licence GPLv3 comme un logiciel gratuit et libre. Ce logiciel est soutenu, développé et recommandé par le The Guardian Project. Il est également recommandé par Edward Snowden.

La version Android de Signal nécessitait les services propriétaires Google Play car l’application utilise Google Cloud Messaging (GCM) afin de notifier les utilisateurs des nouveaux messages reçus. Un fonctionnement alternatif basé sur les WebSockets a depuis vu le jour, rendant les services Google optionnels. Il est de plus possible de télécharger le logiciel directement sur le site sous forme d’APK, bien que les auteurs le déconseillent.

En mai 2016, le développeur principal de Signal a demandé à LibreSignal, un fork qui avait enlevé les dépendances à GCM, de ne pas utiliser les serveurs de Signal en son nom. À la suite de ça, le fork a été « abandonné »

Une faille découverte par Project Zero

Natalie Silvanovich, une chercheuse du groupe Project Zero de Google, a découvert une vulnérabilité dans l’application de messagerie Signal sur Android qui permet à un appelant malveillant de forcer un appel à être accepter du côté du receveur sans qu’il ne l’accepte manuellement.

En d’autres mots, la faille peut être exploité pour activer le micro de l’appareil d’un utilisateur et d’être utiliser comme un appareil d’écoute.

Cependant, la vulnérabilité peut seulement être exploité si le receveur ne répond pas à un appel audio, forçant l’appel entrant à être accepté automatiquement sur l’appareil du receveur.

“Dans le client Android, il y’a une méthode nommée handleCallConnected qui force l’appel à terminer la connexion. Pendant une utilisation normale, cette méthode est appelée dans deux cas: quand l’appareil du receveur accepte l’appel quand l’utilisateur sélectionne ‘accepter,’ et quand l’appareil de l’émetteur reçoit un message de connexion indiquant que le receveur a accepté l’appel,” a expliqué Silvanovich sur le blog de Chromium.

“En utilisant un client modifié, il est possible d’envoyer le message de connexion vers un appareil récepteur quand un appel entrant est en cours mais n’a pas encore été accepté par l’utilisateur. Cela force l’appel à être accepté, même si l’utilisateur n’a pas interagis avec l’appareil.”

Il faut préciser que cela fonctionne seulement avec les appels audio car la vidéo peut uniquement être activé manuellement.

signal

Silvanovich a mentionné que “l’application a cette large surface d’attaque à distance à cause de limitations dans WebRTC,” et la faille de conception affecte aussi la version iOS de l’application de messagerie, mais ne peut pas être exploité car l’appel n’est pas complété à cause d’une erreur dans l’interface utilisateur causé par une séquence inattendue d’états différents.

Réaction Rapide de Signal

Silvanovich a signalé cette vulnérabilité à l’équipe de sécurité de Signal il y’a deux semaines.

L’équipe de sécurité a pris connaissance du problème le jour même et l’a patché en quelques heures avec la sortie de la version 4.47.7 de Signal sur Android.

Il est donc recommandé d’installer la dernière version de Signal depuis le Google Play Store le plus vite possible et de toujours garder vos appareils Android et iOS à jour.

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x