Alerte aux utilisateurs de Signal : nouvelle arnaque pour dérober les clés de sauvegarde

Des rapports récents dans le domaine technologique révèlent une nouvelle opération de phishing visant les usagers de l’application de messagerie chiffrée Signal, dans le but de dérober les clés de sauvegarde des conversations.

Les alertes des spécialistes en cybersécurité se multiplient face à la montée d’attaques qui privilégient la tromperie sociale plutôt que les intrusions techniques directes.

Les cybercriminels envoient des messages se faisant passer pour l’équipe d’assistance technique de Signal, prétendant qu’un problème de synchronisation des sauvegardes pourrait entraîner la perte des discussions et fichiers stockés.

Ces messages demandent aux victimes de communiquer leur clé de récupération liée à la sauvegarde, un code permettant de restaurer les données chiffrées lors d’une connexion depuis un nouvel appareil.

Les experts en sécurité mettent en garde contre la remise de cette clé, qui donnerait aux attaquants un accès aux contenus sauvegardés des utilisateurs.

Des chercheurs en sécurité numérique expliquent que ce type d’attaque constitue une forme avancée de phishing social, exploitant la confiance élevée accordée à Signal par les journalistes, militants et défenseurs de la vie privée.

Plusieurs acteurs du secteur des libertés numériques ont rapporté avoir reçu des messages similaires ces derniers jours, ce qui indique que la campagne s’étend au-delà d’un pays ou d’un groupe spécifique.

Signal avait déjà précisé qu’elle ne demande jamais aux utilisateurs de partager leurs codes d’enregistrement, clés de récupération ou codes PIN par message ou courriel, qualifiant toute sollicitation de ce type de tentative de fraude directe.

Cette campagne s’inscrit dans une vague plus large d’attaques informatiques ciblant les applications de communication sécurisée et les services numériques à travers le monde.

Au cours des derniers mois, des agences de renseignement européennes ont mis en garde contre des opérations similaires visant des utilisateurs d’applications de messagerie, reposant sur des techniques d’ingénierie sociale plutôt que sur l’exploitation de failles techniques.

Par ailleurs, plusieurs grandes entreprises technologiques et services numériques ont été victimes de piratages et de fuites de données cette année, témoignant de la montée en puissance des méthodes d’escroquerie psychologique pour accéder à des informations sensibles.

Les spécialistes en cybersécurité recommandent que la meilleure défense contre ce type d’attaques soit une sensibilisation accrue à la sécurité numérique, en évitant de partager toute donnée sensible ou clé de récupération, quel que soit l’interlocuteur.

Ils conseillent aussi d’activer les protections supplémentaires disponibles et de vérifier toute demande d’assistance technique uniquement via les canaux officiels, afin de prévenir les risques de fraude électronique croissante.