Signal a mis à jour son application mobile sur Android à la suite de la découverte d'un défaut de conception logicielle. Dans certaines circonstances, un appel audio pouvait être forcé et servir à espionner les discussions aux alentours en toute discrétion.

Bien que régulièrement saluée pour le très haut degré de confidentialité et de sécurité qu’elle apporte pour protéger les communications, l’application Signal souffre parfois de défauts d’ingénierie logicielle. Certains sont bénins et ne requièrent pas de publier précipitamment un patch de sécurité. D’autres en revanche sont plus redoutables et nécessitent par conséquent une réaction immédiate.

C’est ce qui s’est passé début octobre avec la publication de la version 4.47.7 de Signal sur Google Play.

signal-profil
L’application permet d’échanger des messages ou de passer des appels en offrant un haut niveau de confidentialité. // Source : Open Whisper Systems

La messagerie sécurisée, dont le lanceur d’alerte Edward Snowden vante les mérites dès qu’il en a l’occasion, était en effet victime d’un bug qui, en l’exploitant, la forçait à répondre à un appel audio, si l’utilisateur à l’autre bout du fil ne décrochait pas. L’émetteur d’un appel pouvait donc potentiellement appeler un contact et écouter discrètement toutes les conversations à portée du microphone du smartphone.

« À l’aide d’un client modifié, il est possible d’envoyer le message ‘connect’ à un appareil appelé lorsqu’un appel entrant est en cours, mais n’a pas encore été accepté par l’utilisateur. Cela permet de répondre à l’appel, même si l’utilisateur n’a pas interagi avec l’appareil », détaille Natalie Silvanovich, qui est à l’origine du rapport de sécurité publié le 28 septembre.

Divulgation responsable de la faille

L’existence de ce dysfonctionnement a été rendue publique le 4 octobre, quand il a été constaté que Signal a pris connaissance de l’incident et déployé une mise à jour bloquant ces appels forcés. La société Open Whisper Systems, qui supervise le développement de Signal, avait en tout 90 jours pour régler ce défaut de conception avant que Google n’en révèle les détails au public.

Natalie Silvanovich est en effet membre du projet Google Zéro, une équipe de travail qui déniche des vulnérabilités dans les logiciels et les rapporte selon les principes de la divulgation responsable. Les entreprises dont les programmes ont été auscultés sont contactées en privé par les spécialistes de la sécurité informatique et bénéficient alors d’un délai pour intervenir, avant que l’information ne devienne publique.

Il y a un an, l’experte informatique avait déjà repéré un souci relativement semblable, mais cette fois dans WhatsApp. Une brèche pouvait aboutir au plantage de l’application mobile lors d’un appel vidéo. La vulnérabilité a été corrigée depuis. Il est à noter que la version iOS de Signal souffre de la même défaillance, mais qui ne produit pas du tout les mêmes effets : en effet, l’appel ne peut aboutir à cause d’une erreur dans l’interface utilisateur. Plutôt ironique.

Partager sur les réseaux sociaux