Le chercheur en sécurité John Jackson a publié une étude à propos de deux vulnérabilités qu’il a détectées dans la version bureau du service de messagerie instantanée Signal : CVE-2023-24069 et CVE-2023-24068. L’expert est convaincu que les escrocs peuvent exploiter ces failles à des fins d’espionnage. Étant donné que les applications pour bureau de Signal utilisent le même code comme base pour tous les systèmes d’exploitation, ces deux vulnérabilités concernent Windows, mais aussi MacOS et Linux. Toutes les versions, y compris la plus récente (6.2.0), sont vulnérables. Voyons à quel point cette menace est réelle.
Qu’est-ce que les vulnérabilités CVE-2023-24069 et CVE-2023-24068 ?
La première vulnérabilité, CVE-2023-24069, se trouve au sein d’un mécanisme mal conçu qui gère les fichiers envoyés par Signal. Lorsque vous envoyez un fichier dans un chat de Signal, l’interface de bureau le conserve dans un répertoire local. Lorsqu’un fichier est supprimé, il disparaît du répertoire… sauf si quelqu’un a répondu ou l’a fait suivre dans une autre conversation. De plus, même si Signal se présente comme une application sûre de messagerie instantanée et que toutes les communications sont chiffrées, les fichiers sont conservés dans un format non protégé.
La vulnérabilité CVE-2023-24068 a été détectée lors d’une étude plus approfondie du programme. Il s’avère qu’il n’y a pas de mécanisme de validation du fichier. En théorie, cela permet aux escrocs de le remplacer. Cela étant dit, si le fichier transféré a été ouvert sur la version bureau, quelqu’un peut le remplacer dans le fichier local par un faux. Ainsi, lors des autres transferts, l’utilisateur va distribuer le fichier de remplacement au lieu du fichier original qu’il souhaitait faire suivre.