Une faille critique a-t-elle été trouvée dans l’application Signal ces derniers jours ? C’est l’affirmation qui a circulé initialement ce week-end, concernant une faille assez grave pour compromettre les smartphones qui seraient pris pour cible. Signe de son degré de criticité, elle a été qualifiée de « zero day », car son existence n’était pas publique jusqu’à présent.
Une faille prétendument dangereuse, mais…
Cependant, la crédibilité d’une telle vulnérabilité est aujourd’hui remise en cause. Sur Twitter, les responsables de Signal ont pris la parole le 16 octobre sur le sujet. À leurs yeux, il n’y a aucune indication, aujourd’hui, sur une brèche correspondant aux récentes allégations. À moins d’un rapport plus complet sur le sujet, la faille ne serait tout simplement pas vraie.
« Pour information : nous avons vu de vagues rapports au sujet d’une vulnérabilité zéro day de Signal. Après une enquête approfondie, nous n’avons aucune preuve que cette vulnérabilité est réelle et aucune information supplémentaire n’a été partagée via nos canaux de signalement officiels », ont indiqué les responsables de l’application.
Signal ne possède pas de programme de chasse aux bugs (bug bounty), qui sert à offrir une récompense aux personnes remontant une vulnérabilité. Cela étant, il existe une adresse officielle où l’on peut contacter l’équipe technique par mail. En l’espèce, ce n’est pas via ce processus que la fondation Signal, qui est responsable de la messagerie instantanée, a été alertée.
Les responsables se sont aussi enquis de la situation auprès de contact au sein du gouvernement américain, « puisque le rapport copié-collé citait le gouvernement américain comme source », ajoute Signal. Cette vérification n’a pas permis de confirmer quoi que ce soit. « Nos interlocuteurs ne disposent d’aucune information suggérant que cette affirmation est valable. »
Cette vraie-fausse affaire, qui concerne en fait une propriété de Signal permettant de générer des aperçus de liens, a quelque peu circulé sur le net. « Apparemment, il y a des professionnels de la sécurité informatique qui n’utilisent pas Signal et ne désactivent pas [ladite] fonctionnalité dans Signal », a écrit Matt Suiche, un expert en cybersécurité, le 15 octobre.
D’autres, qui avaient initialement relayé l’affaire, ont rétropédalé. « Apparemment, les informations que l’on m’avait données plus tôt étaient fausses. […] Je passe ma vie à lutter contre la désinformation en ligne, et je regrette toujours lorsque je la propage accidentellement. Toutes mes excuses », a lâché Kevin Gaughen, qui a effacé son tweet initial.
Signal considère qu’il n’y a pas, pour l’heure, péril en la demeure. Cela dit, elle reste disponible si de véritables indications émergent sur ces aperçus de liens, et pour n’importe quelle remontée qui lui serait faite par mail. « Nous prenons très au sérieux les rapports […] et nous invitons ceux qui ont de véritables informations à les partager avec nous », a conclu la société.
Désactiver la génération des liens sur Signal
L’incertitude étant récente, les personnes inquiètes peuvent de désactiver le réglage litigieux dans les paramètres. La méthode est la suivante :
- Ouvrez Signal sur votre téléphone ;
- Cliquez sur les points de suspension verticaux en haut à droite ;
- Choisissez « Paramètres » ;
- Sélectionnez « Conversations » dans le menu ;
- Décochez l’option « Générer des aperçus de liens » ;
- C’est tout !
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !
