Signal profite d’une vraie réputation en matière de confidentialité. Toutefois, la sécurité des échanges ne protège pas contre la crédulité humaine. Depuis plusieurs mois, des pirates se font passer pour le support officiel de Signal afin de prendre le contrôle des comptes. L’arnaque fonctionne à chaque fois selon le même schéma. Un faux conseiller envoie un message, réclame un code d’enregistrement ou un code PIN sous prétexte de vérification. L’utilisateur piégé lui remet les clés de son propre compte.
Deux mesures dès l’ouverture d’une conversation
Face à la multiplication de ces attaques, Signal a déployé une série de mesures annoncées via une publication sur X.
📩 L’actu digitale évolue vite. Restez à jour.
Recevez la newsletter quotidienne, gratuitement.
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Le premier changement saute aux yeux dès l’ouverture d’un nouveau fil de discussion.
La mention Name not verified s’affiche désormais en évidence. L’application rappelle ainsi que n’importe qui peut choisir librement son nom d’utilisateur sur la plateforme. Signal n’a aucun moyen de vérifier qu’un interlocuteur utilise sa véritable identité.
Le second ajout intervient au moment des demandes de message
Lorsqu’un contact inconnu tente d’entamer une conversation, un avertissement explicite apparaît. Signal recommande de n’accepter que les demandes en provenance de personnes connues.
Le message précise également que Signal ne demandera jamais un code d’enregistrement, un code PIN ni de clé de récupération par message. Une clarification qui devrait couper l’herbe sous le pied aux faux comptes de support technique.
Des attaques qui exploitent la confiance dans la marque
Signal attire précisément un public soucieux de sa vie privée, souvent plus vigilant que la moyenne. Cette confiance dans la plateforme se retourne contre les utilisateurs quand un message semble provenir de l’équipe officielle. Les pirates exploitent la crédibilité de la marque pour obtenir des informations que leurs cibles n’auraient jamais communiquées sur une messagerie grand public.
L’ingénierie sociale reste la faille la plus difficile à colmater dans tout système de sécurité. Aucun chiffrement ne résiste à un utilisateur qui transmet volontairement ses identifiants. Signal a fait le choix d’intervenir au niveau de l’interface plutôt que de modifier son architecture technique, en misant sur la pédagogie au moment précis où le risque se présente.
Signal n’est pas la seule messagerie à muscler ses défenses sur ce terrain. WhatsApp a déployé en début d’année une couche supplémentaire de sécurité destinée aux profils jugés à risque. Les messageries chiffrées réalisent progressivement que la robustesse technique ne suffit plus si l’utilisateur reste le maillon faible de la chaîne.