Signal : 2 failles (corrigées) permettaient d’insérer des messages …

| Publié le |

Selon Next INpact, signal : 2 failles (corrigées) permettaient d’insérer des messages dans des conversations.

Auditer les protocoles ne suffit pas
Des chercheurs et chercheuses ont repéré deux failles dans l’application Signal. Leurs exploitations permettaient d’insérer des messages dans des conversations entre individus ou de groupes. Elles ont pu être corrigées.

En septembre dernier, des chercheurs et chercheuses de l’École polytechnique fédérale de Zurich et du Max Planck Institute allemand ont signalé deux failles à l’équipe de Signal. Leurs exploitations n’étaient pas triviales, mais combinées, et permettaient d’insérer des messages dans une conversation. Depuis, l’application a pu être patchée mais les chercheurs appellent à un audit plus complet de l’application.

Signal a profondément changé l’univers des messageries en boostant l’usage de protocoles de chiffrement robustes, comme le reconnaissent les trois chercheurs Kenneth G. Paterson, Kien Tuong Truong et la chercheuse Noemi Terzo. Libsignal est une bibliothèque d’algorithmes et de protocoles de cryptographie utilisée dans de nombreux projets.

En 2016, WhatsApp finalisait l’intégration du protocole de chiffrement imaginé par les équipes de Signal. Et en 2023, Signal adaptait son protocole pour résister à de futures attaques via des ordinateurs quantiques, qui auront des capacités de calcul beaucoup plus importantes. Quelques mois plus tard, Apple suivait.

Une première faille dans l’implémentation de la pseudonymisation de Signal

Mais les trois chercheurs ont creusé un peu l’implémentation des différents protocoles dans l’application de Signal. Et ils ont trouvé une première faille dans la mise en place de la pseudonymisation annoncée officiellement en 2024 dans la version Android et Desktop de l’application, expliquent-ils dans un article mis en ligne sur la plateforme de prépublication spécialisée Cryptology ePrint Archive.

Signal passe au nom d’utilisateur et cache le numéro de téléphone

Il reste 71% de l'article à découvrir.Vous devez être abonné•e pour lire la suite de cet article.Déjà abonné•e ? Générez une clé RSS dans votre profil.

Source : Next INpact

Cet article est une synthèse basée sur des informations publiques. Consultez la source originale pour l'article complet.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Défilement vers le haut