vulnerabilites signal
Le chercheur en sécurité John Jackson a publié une étude à propos de deux vulnérabilités qu’il a détectées dans la version bureau du service de messagerie instantanée Signal : CVE-2023-24069 et CVE-2023-24068. L’expert est convaincu que les escrocs peuvent exploiter ces failles à des fins d’espionnage. Étant donné que les applications pour bureau de Signal utilisent le même code comme base pour tous les systèmes d’exploitation, ces deux vulnérabilités concernent Windows, mais aussi MacOS et Linux. Toutes les versions, y compris la plus récente (6.2.0), sont vulnérables. Voyons à quel point cette menace est réelle.
La première vulnérabilité, CVE-2023-24069, se trouve au sein d’un mécanisme mal conçu qui gère les fichiers envoyés par Signal. Lorsque vous envoyez un fichier dans un chat de Signal, l’interface de bureau le conserve dans un répertoire local. Lorsqu’un fichier est supprimé, il disparaît du répertoire… sauf si quelqu’un a répondu ou l’a fait suivre dans une autre conversation. De plus, même si Signal se présente comme une application sûre de messagerie instantanée et que toutes les communications sont chiffrées, les fichiers sont conservés dans un format non protégé.
La vulnérabilité CVE-2023-24068 a été détectée lors d’une étude plus approfondie du programme. Il s’avère qu’il n’y a pas de mécanisme de validation du fichier. En théorie, cela permet aux escrocs de le remplacer. Cela étant dit, si le fichier transféré a été ouvert sur la version bureau, quelqu’un peut le remplacer dans le fichier local par un faux. Ainsi, lors des autres transferts, l’utilisateur va distribuer le fichier de remplacement au lieu du fichier original qu’il souhaitait faire suivre.
Mots-clés : cybersécurité, sécurité informatique, protection des données, menaces cybernétiques, veille cyber, analyse de vulnérabilités, sécurité des réseaux, cyberattaques, conformité RGPD, NIS2, DORA, PCIDSS, DEVSECOPS, eSANTE, intelligence artificielle, IA en cybersécurité, apprentissage automatique, deep learning, algorithmes de sécurité, détection des anomalies, systèmes intelligents, automatisation de la sécurité, IA pour la prévention des cyberattaques.
Bots et IA biaisées : une menace silencieuse pour la cybersécurité des entreprises Introduction Les…
Cloudflare en Panne : Causes Officielles, Impacts et Risques pour les Entreprises Le 5 décembre…
Introduction La cybersécurité est aujourd’hui une priorité mondiale. Récemment, la CISA (Cybersecurity and Infrastructure Security…
La transformation numérique face aux nouvelles menaces Le cloud computing s’impose aujourd’hui comme un…
Les attaques par déni de service distribué (DDoS) continuent d'évoluer en sophistication et en ampleur,…
Face à l'adoption croissante des technologies d'IA dans les PME, une nouvelle menace cybersécuritaire émerge…
This website uses cookies.