Profitant de la méfiance envers WhatsApp en raison de ses nouvelles conditions d'utilisation, la messagerie Signal a été adoptée par plusieurs millions d'utilisateurs depuis janvier. Promise comme plus sécurisée, l'application n'en demeure pas moins un nouveau terrain de chasse pour les cybercriminels.
Ces derniers n'hésitent pas à contourner le système mis en place par Signal pour envoyer des spams, et développer des campagnes de phishing afin de soutirer des données personnelles.
«Bravo, vous avez gagné un iPhone 12», «Tu te souviens de moi ? Regarde moi nue...», «On vous offre un Bitcoin»... Peut-on lire sur des messages (photo ci-dessus), certains reprenant le logo d'Amazon ou de Coinbase notamment, afin de paraître plus crédibles. Si ce type de tentatives d'hameçonnage reste grossière, les spécialistes de la cybersécurité tirent ainsi la sonnette d'alarme auprès des utilisateurs nouveaux venus, qui s'imaginent dans une application ultrasécurisée.
Signal n'est sécurisé que pour la conversation, pas pour la source qui vous contacte.Matthieu Dierick, expert en cybersécurité chez F5.
«Les gens ne sont pas plus protégé sur Signal. Derrière l’utilisateur se cache un compte, on peut joindre quelqu’un par un numéro de téléphone et cela peut-être facile à trouver. Or par défaut, ce type d'applications permet de contacter les gens assez facilement. Le tout pour un pirate est de miser sur les failles humaines», prévient Matthieu Dierick, expert chez F5, spécialiste de la sécurité des applications et des infrastructures, pour CNEWS.
Afin de bien comprendre comment procèdent les cyberattaquants, il convient de souligner que sur Signal seuls les messages échangés sont totalement cryptés et sont indéchiffrables ou illisibles par des tiers. Rien n'étant stocké dans le cloud. «Signal n’est pas sécurisé pour la source qui vous contacte, elle n’est que sécurisée pour la conversation», poursuit Matthieu Dierick. En clair, les échanges demeurent impossibles à voir pour un tiers et c'est ce qu'exploitent les pirates puisque leurs échanges ne pourront pas être lus par les autorités par exemple. «Si un pirate vous envoie un malware contenu dans une photo ou une vidéo, c'est possible», souligne Matthieu Dierick.
Autre défaut exploité par les criminels : le format mobile. «Sur un navigateur internet utilisé sur un ordinateur, lorsque vous recevez une tentative de phishing, vous pouvez voir l’URL ou un petit cadenas, or sur un smartphone la lecture est différente», ajoute-t-il. «Signal permet de créer un profil en utilisant n'importe quel nom et d'y appliquer un logo à la place de la photo de profil. On peut donc usurper facilement l'identité d'Amazon par exemple. Et c'est un vrai problème», renchérit Jérôme Soyer, directeur technique Europe du sud chez Varonis, spécialiste de la sécurité des données, également interrogé par CNEWS.
Une liste de comptes Amazon, c'est 300 euros sur le darknet
Lorsqu'une campagne de phishing est organisée par des pirates sur Signal, la technique utilisée repose souvent sur l'énumération. C'est à dire qu'un logiciel va envoyer des messages malveillants à une liste de plusieurs milliers de numéros de téléphone, qui seront automatiquement composés. «Si sur un million de messages de phishing, 1 % des destinataires répond ça fait beaucoup de monde», alerte Matthieu Dierick.
«Le hacker gagne surtout de l’argent en revendant des logins et des passwords. Une liste de compte Paypal, c’est entre 400 et 500 euros la liste. Les comptes Amazon sont également très recherchés (entre 200-300 euros) sur le darknet, car vous pouvez commander sur Amazon et vous faire livrer à l'adresse de votre choix. Enfin, il y a des campagnes de phishing qui veulent juste savoir qui a cliqué sur le lien. Le but est de revendre l’info en expliquant que cette personne a cliqué dessus et cela permet de savoir par là suite si elle est réceptive à ce type d'hameçonnage. Cela demande du tracking, mais c'est facilement réalisable», analyse Matthieu Dierick.
Pour Jérôme Soyer : «faire une campagne de phishing sur Signal coûte aujourd'hui moins chère qu'en passant par des SMS. En outre, il est plus facile de passer sur Android que sur les appareils sous iOS. Android restant plus ouvert, il est possible d'installer des applications d'un simple clic sur un mobile, alors que sur iOS on ne peut pas si ça ne passe pas par l'App Store».
Les recommandations à suivre
Ne pas ouvrir ces messages est la règle à suivre. Il est même possible de limiter Signal en précisant dans les paramètres qu'on ne souhaite recevoir des messages que de ses contacts. Signal permet également de bloquer l'émetteur d'un message.
«Aucune entreprise, ni banque ne vous contactera par mail ou message. Les choses importantes ne se passent pas par messagerie. Dans le doute, il ne faut pas hésiter à parler à quelqu’un de son entourage. Ne pas avoir peur. Tout le monde est une cible», avertit Matthieu Dierick. «Il faut noter qu'on voit apparaître des services clients sur WhatsApp, mais il est clair qu'il faut toujours faire attention à ce que l'on communique sur ce genre de plate-forme. Ne donnez jamais vos mots de passe ou données de cartes de crédit», tempère Jérôme Soyer.
Autre indice à prendre en compte : faire attention au numéro de téléphone, lorsque le préfixe vient de pays lointains. Comme le cas du phishing Amazon sur Signal, où le numéro venait du Vietnam.