Fin 2020, le changement prévu des conditions d’utilisation de WhatsApp a engendré un large départ d’utilisateurs vers son concurrent Signal. De nombreuses personnes ont ainsi découvert l’application de messagerie, vantée pour son modèle de confidentialité.

Mais quelques mois plus tard, ces nouveaux utilisateurs s’énervent déjà. Ils reçoivent sur l’app soi-disant « sécurisée » des messages de phishing et des spams : un faux Amazon leur promet un iPhone 12, on leur annonce un gain de bitcoin, ou encore, ils reçoivent des spams à caractère sexuel.

Image d'erreur

Voilà un exemple de lien de phishing envoyé actuellement aux utilisateurs de Signal. // Source : @Sebweb33 sur Twitter

Signal mentirait-il à ses utilisateurs ? Et bien, non, pas du tout. C’est simplement que la « sécurité » qu’elle offre est mal comprise. Pourrait-elle faire plus pour lutter contre ces spams ? Peut-être, mais le problème des messages frauduleux va bien au-delà de l’app elle-même.

Le principe même de Signal rend la détection du spam difficile

Signal protège la confidentialité de vos échanges, avec un algorithme de chiffrement open source — c’est-à-dire vérifiable par n’importe qui. C’est cette seule propriété qui fait qu’on lui attribue l’adjectif « sécurisée ».

Concrètement, Signal va appliquer une couche de chiffrement aux messages que vous envoyez. Plus exactement, c’est votre app qui va les chiffrer, à l’aide d’une clé quasiment unique. Seul le destinataire du message aura un double de cette clé, et seul son smartphone pourra déchiffrer le message que vous lui avez envoyé et en lire le contenu. Si une personne — un cybercriminel, un policier, ou un employé de Signal par exemple — intercepte le message entre les deux appareils, il ne pourra pas en lire le contenu. C’est pourquoi Signal compte parmi ses utilisateurs historiques des activistes qui craignent la répression de différents gouvernements ; des journalistes qui doivent garantir l’anonymat de leurs sources ; ou encore par des criminels qui veulent échapper à la surveillance policière.

Problème : cette garantie de confidentialité des messages entrave le déploiement de filtres contre les spams. Puisque Signal ne peut pas lire le contenu des messages que vous recevez, l’app ne peut pas par exemple, bloquer tous ceux qui contiendraient un lien identifié comme dangereux.

Autrement dit, Signal garantit que personne d’autre que  vous ne peut lire le message que vous venez de recevoir. En revanche, l’app ne garantit par l’intégrité de son contenu : le message peut relayer une fake news, il peut contenir lien vers un malware ou même des menaces. Signal ne vous en protègera pas, et ne prétend à aucun moment le faire.

Pourquoi est-ce que je reçois des messages de phishing sur Signal ?

Un autre préjugé circule : ce n’est pas parce que vous recevez un message de phishing de la part d’un numéro inconnu sur Signal que l’organisation a connu un quelconque problème de sécurité.

Pour vous envoyer un message sur Signal, il suffit d’avoir votre numéro de téléphone. Et l’obtenir est une tâche plutôt simple : une entreprise peu scrupuleuse à qui vous l’auriez confié pourrait l’avoir vendu ; il pourrait être inclus dans une des nombreuses fuites de données détectées chaque semaine ; ou encore, vous pourriez vous-même l’afficher publiquement sur un de vos réseaux sociaux. Par exemple, la base de données volées sur Facebook contient pas moins de 500 millions de numéros de téléphone que les malfrats peuvent facilement arroser de messages frauduleux.

Reste une question : pourquoi est-ce que les malfaiteurs vous envoient ces messages sur Signal plutôt que par SMS ? Plusieurs pistes :

  • Signal permet d’afficher un nom d’utilisateur et une photo de profil de son choix. De quoi créer un profil d’expéditeur plus crédible, et d’augmenter les chances de réussite du phishing.
  • Puisque la « sécurité » de Signal est mal comprise, certains utilisateurs penseront que le contenu du message est inoffensif, car sinon Signal l’aurait bloqué.
  • Les campagnes de spam par SMS ont un certain coût par message, même s’il est faible. L’envoi d’une campagne de messages sur Signal se ferait à moindres frais.
  • L’engouement autour de l’application depuis quelques mois a rendu l’app plus attractive pour les cybercriminels.

Que fait Signal contre les messages de spam et que pourrait-elle faire de mieux ?

Vous ne l’avez peut-être pas remarqué, mais les messages de spam que vous recevez ne s’affichent pas comme les messages des personnes enregistrées sur votre répertoire. Et pour cause, Signal les considère comme des demandes de contact, et vous propose trois options : accepter le message, le supprimer ou bloquer l’expéditeur. Tant que vous n’avez pas choisi une de ces options, les liens contenus dans le message sont désactivés, c’est-à-dire que vous ne pourrez pas cliquer dessus. C’est une bonne protection : l’écrasante majorité des messages malveillants nécessitent un clic de la part de l’utilisateur pour refermer leur piège. Certes, cette fonctionnalité n’empêche pas de recevoir une notification inutile, mais elle pousse les utilisateurs à réfléchir à la prise du risque qu’ils prennent en consultant le message d’un expéditeur inconnu.

Votre numéro est compromis, pas Signal

Il ne faut pas hésiter à bloquer les messages suspects : les entreprises imitées par les malfrats ne communiquent pas par des apps de messageries tierces comme Signal. Et si une personne doit vraiment vous contacter, elle peut vous passer un appel ou vous envoyer un SMS, puisqu’elle a votre numéro de téléphone.

Comme le relève How to geek, certains utilisateurs demandent à Signal de créer une fonctionnalité pour bloquer automatiquement les messages envoyés par des inconnus, dont le numéro n’est pas enregistré sur le smartphone. D’autres demandent une fonctionnalité de signalement de numéros malveillants, comme il existe sur WhatsApp par exemple. Mais pour l’instant, Signal n’a pas commenté ces demandes.

Si vraiment le phishing reçu sur Signal vous exaspère, il reste possible de supprimer l’application. Mais puisque la réception de spam est avant tout le signe que votre numéro de téléphone est compromis, cette action ne résoudra pas tous vos problèmes.

une comparateur meilleur gestionnaire mdp numerama

Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !