Signal est l’une des plateformes de communication cryptées les plus sécurisées disponibles, mais cela ne signifie pas qu’elle est impénétrable contre les mauvais acteurs. Plus tôt cette année, par exemple, le FBI a pu récupérer les messages Signal supprimés de l’iPhone d’un accusé grâce à une vulnérabilité dans la façon dont les notifications sont stockées. (Apple a depuis corrigé cette faille.) Désormais, l’application est une cible pour les pirates informatiques, qui se font passer pour l’équipe d’assistance de Signal dans une escroquerie de phishing sophistiquée visant à accéder aux sauvegardes sécurisées des discussions. Voici ce que vous devez savoir pour protéger votre compte Signal.
Comment fonctionne la dernière arnaque Signal
Comme le rapporte TechCrunch, les acteurs malveillants utilisent un compte intitulé « Signal Support » pour envoyer des messages de phishing à des cibles potentielles demandant la clé de récupération du destinataire. Le message avertit que les messages et les médias de sauvegarde « risquent d’être perdus de manière permanente en raison d’un problème de synchronisation » et que, à moins que l’utilisateur ne fournisse sa clé de récupération à l’équipe « d’assistance », il risque de perdre l’accès à son compte et à ses données. Bien sûr, tout cela n’est qu’un mensonge : avec votre clé de récupération, les attaquants peuvent déverrouiller vos sauvegardes de discussion cryptées, ce qui est leur objectif explicite ici.
Cette campagne de phishing peut largement cibler les militants et autres utilisateurs de Signal à haut risque, comme les journalistes. Cependant, certains experts ont suggéré que cette tactique pourrait être utilisée plus largement et par de multiples acteurs malveillants, qui exploitent la confiance des utilisateurs dans la réputation de confidentialité et de sécurité de l’application. La plateforme a également récemment mis en garde les utilisateurs contre des escroqueries similaires par usurpation d’identité visant à prendre le contrôle de comptes. Signal ne vous demandera jamais les détails de votre compte, comme votre code PIN ou votre clé de récupération, et toute demande de ce type émanant du soi-disant support est une arnaque.
Protégez votre compte Signal maintenant
Si vous recevez un message du support Signal ou de tout utilisateur d’apparence officielle demandant des informations d’identification ou des clés, ne fournissez pas ces informations. Il s’agit de pirates se faisant passer pour Signal, et non de comptes fiables. Aucune entreprise ou plateforme légitime ne vous contactera à l’improviste pour vous demander votre identifiant ou d’autres données sensibles. Vous devez également activer Registration Lock, la fonction de sécurité de Signal qui protège votre compte contre le piratage. Le verrouillage d’enregistrement empêche quelqu’un d’autre de configurer Signal sur un nouvel appareil (sans code PIN supplémentaire), puis de vous verrouiller. Aller à Paramètres > Compte et basculer Verrouillage d’enregistrement pour vous assurer que vous ne serez pas attaqué de cette façon.
