Cela se passe au niveau du « blocage d’inscription ».

Jusque fin 2022, quand un numéro de téléphone qui avait été utilisé pour créer un compte Signal était utilisé pour en créer un autre (sur un autre téléphone, ou sur le même après suppression du compte – par exemple, réinstallation de Signal), deux cas de figure se présentaient :
— 1) Si le blocage d’inscription (NIP) n’avait pas été associé au profil et activé dans les paramètres du premier compte, le nouveau compte était créé et le premier était désactivé.
— 2) Si le blocage d’inscription (NIP) avait été activé, alors le nouveau compte ne pouvait être crée que si le NIP correct était renseigné au moment de l’inscription (le profil associé avec le NIP – nom, image, description – était alors rétabli lors de la création du nouveau compte).

Dans le second cas, si le NIP correct ne pouvait être renseigné, s’ouvrait une période de 7 jours après laquelle, si aucune activité n’avait été constatée sur le premier compte associé à ce numéro de téléphone, le profil était supprimé et le numéro pouvait être utilisé pour créer le nouveau compte.

Maintenant, dans le second cas de figure, c’est-à-dire même si un NIP est associé au profil, le premier compte est quand même instantanément désactivé et une vérification par SMS est nécessaire pour le réactiver ; ce qui nécessite un accès au numéro de téléphone associé au profil pour pouvoir compléter la vérification.
Donc, si le numéro en question n’est plus accessible (désactivé sur le site Internet ou carte SIM hors de portée) durant la période de 7 jours, il peut être utilisé pour réinscription par quiconque est en mesure d’y recevoir un SMS.
Sans le NIP, le profil ne sera pas conservé mais le nouveau compte recevra tous les messages qui sont envoyés à ce numéro – par les contacts et groupes avec lesquels le premier compte communiquait – et pourra donc se faire passer pour le premier compte**.

À retenir :

Si une personne crée un compte Signal avec un numéro de téléphone, que ce numéro de téléphone est susceptible d’être utilisé par d’autres (numéro temporaire d’un site Internet, ou associé à une carte SIM accessible par d’autres ou désactivée), et que la possibilité pour la première personne de recevoir le code de confirmation par SMS sur ce numéro est compromise durant plus de 7 jours, alors elle court le risque de voir son compte Signal être désactivé et rendu irrécupérable, et que le numéro de téléphone soit associé à un autre compte et son identité (sous la forme de ce numéro) usurpée.

* Sachant que cela ne concerne pas uniquement les numéros "jetables" disponibles sur un grand nombre de sites Internet : un numéro de téléphone associé à une carte SIM peut, en cas de désactivation par la compagnie de télécommunication (par exemple, après une année d’inactivité), être réassigné à une nouvelle carte SIM, et donc être utilisé par une autre personne.

** Indices : dans ce scénario, le profil – nom, image, description – ne sera probablement plus le même, et le numéro de sécurité aura changé (ce qui générera un message d’avertissement). NOTE : toute réinscription, même "légitime", génère une modification du numéro de sécurité.

Contact : LabAutoNum@riseup.net