Signal adds security warnings for social engineering, phishing attacks

Renforcement des protections de Signal contre le phishing

Signal a déployé de nouvelles fonctionnalités de sécurité pour contrer l’augmentation des campagnes de phishing et d’ingénierie sociale, souvent attribuées à des groupes étatiques (notamment russes). Ces attaques visent à usurper l’identité du support Signal pour inciter les utilisateurs à compromettre leur compte.

Points clés :

• Méthode d’attaque : Les pirates manipulent les victimes pour qu’elles scannent un code QR ou partagent des codes de vérification, leur permettant ainsi d’associer un appareil malveillant au compte cible via la fonction « Appareils associés ».
• Objectif des attaquants : Accéder aux historiques de discussion, aux contacts et aux données privées des utilisateurs visés.
• Nouvelles mesures : Signal intègre désormais des messages d’avertissement contextuels, des indicateurs de vérification de profil et des rappels explicites sur les pratiques sécurisées.

Vulnérabilités :

• Aucune CVE spécifique n’est associée, car il s’agit d’une exploitation légitime de la fonctionnalité « Appareils associés » par manipulation psychologique (ingénierie sociale), et non d’une faille technique du logiciel.

Recommandations :

• Vigilance accrue : Ne jamais scanner de codes QR ou partager de codes de vérification, PIN ou clés de récupération à la demande d’un tiers, même si celui-ci prétend appartenir au support officiel de Signal.
• Vérification des accès : Consulter régulièrement les paramètres de l’application pour identifier et supprimer tout « Appareil associé » inconnu.
• Attention contextuelle : Prêter attention aux nouveaux avertissements de Signal, tels que « Nom non vérifié » ou « Aucun groupe en commun », lors de la réception de messages provenant d’inconnus.

Source