L’application Signal Desktop ne crypte pas les pièces jointes. Toute personne ayant accès au PC pourrait l’aliéner ou le copier.
Signal Desktop jusqu’à la version 6.3.0 (Windows, Linux et macOS) permet aux attaquants d’extraire et de manipuler les pièces jointes confidentielles des messages. En théorie du moins. Afin d’exploiter les failles de sécurité (CVE-2023-24068 et CVE-2023-24069) découvertes par le chercheur en sécurité John Jackson, les auteurs auraient besoin d’un accès direct à l’ordinateur de leur victime.
Signal Desktop : les images ou vidéos, PDF et autres documents texte ne sont pas cryptés (CVE-2023-24068)
Le chercheur en sécurité John Jackson a découvert que Signal Desktop enregistre les pièces jointes non cryptées sur l’ordinateur. Jackson a également pu prouver que même après une suppression de fichier auto-initiée, les attaquants ou les autorités d’enquête peuvent restaurer la pièce jointe déjà supprimée – et même la manipuler.
John écrit dans sa preuve de concept : «Après avoir supprimé le fichier, il a bien été supprimé du dossier %AppData%. Cependant, il y a une exception : si la pièce jointe a fait l’objet d’une réponse.«
Le conseiller principal pour la sécurité informatique décrit la vulnérabilité résultante (CVE-2023-24068) dans le messager de signal comme suit :
Une mauvaise gestion du cache entraîne un certain nombre de problèmes. Un attaquant qui met la main sur ces fichiers n’a même pas besoin de les décrypter. Il n’y a pas de processus de nettoyage régulier. Les documents qui ne sont pas supprimés restent non chiffré et indéfiniment sont dans ce dossier.
Jean Jackson
Signal ne parvient pas à valider les modifications apportées aux fichiers existants dans le cache (CVE-2023-24069)
Mais non seulement le fait que le messager ne supprime pas les pièces jointes de manière fiable est un problème : apparemment, le messager du signal ne peut pas valider les fichiers existants dans le cache. Selon Jackson, cela entraîne la deuxième vulnérabilité.
Il était facile pour le chercheur en sécurité de manipuler les fichiers stockés par le client de bureau Signal. Jackson décrit la vulnérabilité comme suit :
Le client de bureau de Signal ne valide pas la pièce jointe existante et importe le nouveau document sans mettre à jour les informations ni valider le fichier. Essentiellement, le client de bureau suppose que la pièce jointe est ce qu’elle prétend être. C’est le début d’une chaîne d’attaques.
Jean Jackson
Et ce n’est pas tout. Parce que non seulement les images peuvent être manipulées de cette manière. Les documents texte peuvent également être modifiés de cette manière sans être remarqués – et pourvus d’un code malveillant, renvoyés.
Pour Signal, ce ne sont pas des failles de sécurité
John m’a confirmé aujourd’hui que ces deux vulnérabilités sont toujours présentes dans la version actuelle de Signal Messenger (6.3.0). De plus, il ne pense pas que Signal résoudra les problèmes de si tôt. La direction de l’organisation à but non lucratif ne semble pas croire qu’il s’agisse de failles de sécurité existantes dans leur messager.
Il y aura certainement l’un ou l’autre utilisateur du signal qui partagera l’avis du messager selon lequel ce n’est pas un bug. Cependant, pour les utilisateurs soucieux de la sécurité et de la confidentialité, il est important de savoir que ce problème existe. Au moins, Kaspersky Lab méritait son propre article de blog.
Parce que si un appareil non crypté tombe entre de mauvaises mains, les autorités d’enquête peuvent accéder relativement facilement aux documents sensibles qui ont été envoyés avec le messager de signal. Il en va de même pour les cybercriminels qui ont obtenu un accès complet au PC de la victime.