En fait. Au 11 mai, la messagerie Signal – revendiquant un haut niveau de sécurité – n’a toujours pas déployé de solution pour contrer les campagnes de phishing menées depuis des mois sur son réseau. Fin avril, elle promettait d’y remédier… « dans les semaines à venir ». De son côté, Apple a corrigé une faille.

En clair. « Dans les semaines à venir, vous nous verrez déployer un certain nombre de changements pour aider à entraver ce type d’attaques », avait annoncé le 27 avril la Signal Technology Foundation qui exploite – sans but lucratif – la message instantanée et cryptée Signal via sa filiale Signal Messenger, les deux entités étant basées à Mountain View (Californie). Depuis plusieurs mois, Signal est la cible d’opérations d’hameçonnage (phishing) dont sont victimes plusieurs de ses quelque 80 millions d’utilisateurs dans le monde – aucun chiffre officiel n’étant divulgué par la fondation.
« Il s’agit effectivement d’un sujet de préoccupation majeure. […] Nous savons que la Russie, ainsi que d’autres Etats hostiles à Signal (l’Ukraine recourant largement à notre application) sont des régimes autoritaires qui ne voient pas d’un bon œil l’accès des individus à leurs droits fondamentaux », avait déclaré Meredith Whittaker, présidente de la fondation Signal, lors de son audition le 25 mars 2026, à l’Assemblée nationale, par la commission d’enquête sur « les dépendances structurelles et les vulnérabilités systémiques dans le secteur du numérique et les risques pour l’indépendance de la France » (1). Le rapport (suite) sera publié avant début août 2026. Dans un post sur X daté du 27 avril 2026, la direction de Signal a expliqué comment elle avait eu vent de ces cyberattaques : « Puisque nous ne collectons pas de données utilisateur, ce que nous savons de ces attaques provient des victimes de phishing. Et d’après ce que les victimes nous ont dit, les attaques suivaient un schéma général : après avoir trompé les gens pour qu’ils révèlent leurs identifiants Signal, les attaquants utilisaient ensuite ces identifiants pour prendre le contrôle de leur compte et changeaient fréquemment le numéro de téléphone associé. […] Les comptes compromis étaient ensuite utilisés comme armes pour cibler les listes de contacts des victimes en se faisant passer pour les propriétaires des comptes » (2).
Le phishing n’est pas le seul problème de Signal : fin avril, a révélé 404 Media (3), Apple a corrigé un bug qui permettait au FBI, le service de renseignement des Etats-Unis (4), d’extraire les messages entrants de Signal depuis un iPhone d’un « suspect », même après la suppression de l’application. En 2021, des millions d’utilisateurs de WhatsApp avaient migré vers Signal en pensant être mieux protégés. @