Recherche de site Web

Signal démystifie les allégations de vulnérabilité Zero-Day

Vos messages sont (toujours) en sécurité.

Signal est soumis à des normes extrêmement élevées en matière de sécurité et de cryptage de bout en bout, son application de messagerie étant particulièrement sécurisée et son protocole de cryptage étant utilisé par WhatsApp. Il était alors particulièrement inquiétant de constater que des nouvelles ont commencé à circuler selon lesquelles Signal pourrait avoir une vulnérabilité zero-day. Cependant, ces rumeurs ont maintenant été dissipées et Signal souhaite vraiment que vous vous sentiez en sécurité lorsque vous utilisez l'application.

Dans des discussions partagées avec Mastodon et X/Twitter, Signal a démystifié les rumeurs selon lesquelles une vulnérabilité zero-day affectait l'application. Signal a abordé les « vagues rapports viraux » sur une vulnérabilité du jour zéro, ajoutant ensuite qu'après une enquête approfondie, les développeurs n'ont trouvé aucune preuve que la vulnérabilité était réelle et qu'aucune information supplémentaire n'a été partagée sur ses canaux de signalement officiels. Il a également ajouté qu'il avait vérifié auprès de sources au sein du gouvernement américain (puisque la rumeur prétendait que le gouvernement avait connaissance de la vulnérabilité), pour ne rien trouver non plus de ces sources.

La vulnérabilité présumée a été partagée sur plusieurs plateformes de médias sociaux et indique que la capacité de Signal à prévisualiser un lien partagé pourrait être exploitée pour lancer une attaque. Le problème n'est pas vraiment documenté en détail et, de même, personne n'a vraiment montré la moindre preuve de l'existence de la vulnérabilité ou de son exploitation dans la nature. Tout ce que nous avons, c'est des conseils pour désactiver les aperçus des liens afin d'atténuer le problème allégué. Selon le chercheur en sécurité Matt Blaze, il semble que les rumeurs pourraient faire référence à un problème qui existe réellement et qui est bien documenté : la faille de sécurité WebP qui a affecté les navigateurs Web et d'autres applications. Cependant, selon Signal, ce problème est déjà résolu et toutes les versions actuelles de l'application exécutent déjà le correctif.

Donc vraiment, il semble que rien ne se passe ici, et si vous êtes un utilisateur de Signal, vous n'avez rien à craindre. Si un problème affecte Signal, vous en serez probablement informé rapidement et une mise à jour sera publiée dès que possible. Dans le cas de ce problème, s'il est réellement réel, Signal demande aux chercheurs de tout leur dire via les canaux de reporting officiels du groupe.

Source : Signal, Matt Blaze, PCMag

Articles connexes: