Une société de sécurité a déclaré publiquement avoir piraté le cryptage utilisé par l'application de messagerie Signal, connue pour le niveau de confidentialité qu'elle offre à ses utilisateurs. Selon un article de blog publié par la société israélienne Cellebrite, "le décryptage des messages et des pièces jointes envoyés avec Signal était pratiquement impossible... jusqu'à présent". La société poursuit en expliquant la méthode par laquelle elle aurait pu décrypter les messages envoyés à l'aide de l'application Signal pour Android. Aucune mention n'a été faite de la version iOS.
Le signal est vraiment cassé?
Le billet de blog propose une longue explication technique, mais en résumé, Cellebrite affirme avoir pu obtenir la clé de déchiffrement en « lisant une valeur du fichier de préférences partagé ». La société a ensuite utilisé les informations trouvées dans le code open source de Signal pour établir comment la clé pourrait être utilisée pour déchiffrer une base de données contenant des messages et des pièces jointes. Cependant, depuis le premier article, l'article de blog a subi des changements importants et la description de la méthode a été entièrement supprimée. Signal a également rapidement rejeté les allégations, qui, selon la société, sont réductrices au point d'être trompeuses. « Il s'agissait d'un article sur les « techniques avancées » utilisées par Cellebrite pour décoder une base de données de messages Signal... sur un appareil Android *déverrouillé* ! Ils auraient également pu ouvrir l'application pour voir les messages », a déclaré Moxie Marlinspike, créatrice de Signal. "L'article entier se lit comme une heure d'amateur, c'est pourquoi je suppose qu'ils l'ont supprimé", a-t-il ajouté. La suggestion est que le cryptage du signal sur un appareil Android verrouillé est une question complètement différente et que tester avec un téléphone déverrouillé va à l’encontre du but, car les messages seraient de toute façon accessibles. Cependant, si les affirmations de Cellebrite tiennent la route, l'entreprise pourrait avoir retiré de la viande du courrier pour une autre raison, selon un expert en informatique. "Je soupçonne qu'ils ont été informés de cela par quelqu'un en position d'autorité, ou qu'ils ont réalisé qu'ils avaient peut-être fourni suffisamment de détails pour permettre à d'autres, qui ne se contentent pas d'assurer le maintien de l'ordre, d'arriver au même résultat", a déclaré Alan Woodward, de l'université de Surrey.- Voici notre aperçu des meilleurs services VPN du marché.