Un énorme bug pouvait permettre d'écouter la personne appelée avant qu'elle ne décroche avec Google Duo, Signal, FaceTime ou encore Facebook Messenger. Il a perduré jusqu'à la fin 2020 pour certaines applications.
au sommaire
Signal a le ventvent en poupe depuis que WhatsApp a décidé de modifier ses conditions d'utilisation pour partager ses données avec la maison mère FacebookFacebook. Ultrasécurisée et réputée pour ne pas collecter de données personnelles, la messagerie, prônée par Edward Snowden, a pourtant rencontré une faille conséquente jusqu'à la fin 2019.
Lors d'un appel, alors que le correspondant n'a pas encore décroché, les applicationsapplications Signal sur les deux mobilesmobiles échangent des données pour assurer la connexion. Et il se trouve que, durant cette phase, les échanges n'étaient pas limités aux clés de chiffrement et au codec. L'appel activait également le microphone du mobile de l'appelé, ce qui pouvait permettre de l'espionner. Détectée par la chercheuse en sécurité Natalie Silvanovich de Project Zero, chez GoogleGoogle, cette faille ne concernait pas uniquement Signal, mais presque toutes les applications de communication les plus populaires, telles que Facebook Messenger, FaceTime, Google Duo, ou encore JioChat qui est très utilisé en Inde.
Un gros bug corrigé
Si AppleApple et Signal ont été les premiers à corriger la faille dès 2019, la plupart des autres messageries n'ont pas pris de mesures avant la fin 2020 pour la combler. La chercheuse considère encore plus problématique le cas de Google Duo car, durant cet échange initial, des paquets vidéo pouvaient être transmis en plus du son. En revanche, ce bugbug, pourtant commun, ne concerne ni TelegramTelegram ou Viber.
Dans des explications publiées sur son compte Twitter, l'experte précise qu'elle s'est concentrée sur les applications qui représentaient plus de 10 millions d'installations à partir du Google Play. Cela signifie que d'autres applications de communication moins populaires pourraient toujours souffrir du même bug. Dans tous les cas, mieux vaut vérifier que ce type d'application est bien à jour sur son téléphone.