Aux États-Unis, l’affaire du « Signalgate » qui a coûté son poste à Mike Waltz, le conseiller à la sécurité nationale du pays, refait parler d’elle. Le conseiller avait créé un groupe de discussion privé intégrant 15 hauts fonctionnaires de l’administration Trump avec l’applicationapplication de messageriemessagerie chiffrée Signal. En mars, Pete Hegseth, le secrétaire à la défense, avait décrit dans ce groupe l’opération militaire menée au Yémen. Or, il y avait un intrus invité accidentellement par Waltz, un journaliste… Il a révélé l’affaire, ce qui a engendré de lourdes critiques, l’ouverture d’une enquête fédérale et la méfiance des alliés des États-Unis. Pire encore, le même secrétaire à la défense a constitué son propre groupe de discussion Signal pour évoquer la même opération avec des proches. En guise de fusiblesfusibles, Waltz et cinq autres collaborateurs à la Défense ont été écartés. Mais, bis repetita, une nouvelle affaire ennuyeuse vient d’éclore dans cette administration qui semble faire preuve d’amateurisme en ce qui concerne la sécurité nationale. Au menu : le piratage de l’application de messagerie sécurisée qu’utilise, entre autres, Mike Waltz.
Un signalgate dans le signalgate ? Oui et non, car cette fois, si les informations de la messagerie Signal peuvent fuiter, ce n’est pas en raison de la faiblesse intrinsèque de celle-ci, ou d’une erreur humaine, mais plutôt d’une version modifiée de l’application à destination des membres du gouvernement américain. Elle porteporte le nom de TM SGNL. Cette application facilite l’archivage des messages provenant des messageries chiffrées de bout en bout. C’est une obligation pour l’administration américaine. Créée par la société israélienne TeleMessage, l’application envoie donc des copies des messages émanant de Signal, ou bien de WhatsAppWhatsApp à un serveur d’archivage.
Un intrus dans Signal
La société qui l’édite affirme que l’application conserve la sécurité et le chiffrement de bout en bout de Signal intacts. Vraiment ? À partir du moment où un service tiers a la possibilité de transférer ces messages, c’est qu’il y a quand même une belle faille de sécurité, à l’image de l’invitation d’un journaliste dans le fameux groupe secret pour l’opération au Yemen. Pour résumer, ajouter cette fonctionnalité, est l’équivalent d’ajouter une personne à une discussion. Et encore faut-il être certain que la solution de stockage soit 100 % sécurisée.
C’est Micah Lee, un journaliste spécialisé dans le hacking et le site 404-Media, qui ont levé le lièvre. D’abord, l’utilisation de TM SGNL par Waltz a été découverte par une simple photo de presse du conseiller prise alors qu’il utilisait l’application sur son mobilemobile. Ensuite, un pirate anonyme, qui a échangé avec les journalistes de 404 Media, a cherché à vérifier s’il est possible de pénétrer les systèmes de TM SGNL pour accéder aux serveurs de stockage des messages. Bingo ! Il y est parvenu en moins de vingt minutes et affirme que cela n’a pas été difficile.
Diagramme du fonctionnement de l’application TM GNL de TeleMessage. Il y a bien un élément tiers qui traite les messages en parallèle des serveurs de Signal. © Micah Lee, 404 Media
Entre 15 et 20 minutes pour pirater le système
Les données qu’il pouvait consulter comprennent le contenu des messages, les noms et coordonnées des représentants gouvernementaux, les noms d’utilisateurs, ceux des différentes clients de la firme et les mots de passe du panneau d’administration de TeleMessage. Le pirate a pu accéder aux seules données que l’application relevait par intermittence à des fins de débogage. Mais ces échantillons de données capturés contenaient des fragments non chiffrés, transitant par le serveur avant d’être archivées.
Le pirate n’a pas cherché à avoir accès à tous les messages, car ce qui l’a incité à pénétrer le système, c’est surtout la curiosité, selon lui. Auprès du média, il s’est dit inquiet de la grossièreté de la faille en indiquant : « Si j’ai pu trouver cela en moins de 30 minutes, n’importe qui d’autre le pourrait aussi ». Il n’a pas cherché non plus à prévenir la société éditrice de cette vulnérabilité. Il craignait qu’elle ne fasse tout son possible pour la dissimuler. De son côté, depuis la révélation de l’utilisation de son service par Mike Waltz, TeleMessage a supprimé sa page Web et reste silencieuse. Est-ce que Signal pose des problèmes de sécurité pour autant ? En réalité non, car son chiffrement de bout en bout bloque toute interception extérieure. Ses seules carencescarences sont les erreurs humaines, comme celle de l’ajout accidentel d’un tiers dans un groupe, ou bien l’accès direct au mobile de l’utilisateur.
Signal, une valeur sûre ?
Là où le bât blesse, c’est que le code de Signal est disponible en Open sourceOpen source. C’est un gage de qualité et d’indépendance, car tout le monde peut vérifier le contenu du code. En revanche, c’est ce qui permet également de récupérer et modifier Signal pour l’imbriquer dans une application, comme celle de TeleMessage. Mieux vaut donc miser sur l’original donc…. Futura a reçu un e-mail de Signal expliquant que de son côté, elle « ne peut garantir la confidentialitéconfidentialité ni la sécurité des versions non officielles de Signal » en ajoutant que l’application reste ultrasécurisée si on l’utilise comme telle et sans erreur de manipulation.
Si les gouvernements considèrent que ce n’est pas une bonne idée de l’employer, ce n’est pas parce que Signal n’est pas suffisamment sécurisée, mais plutôt parce qu’elle est majoritairement utilisée en étant liée à un numéro de téléphone. Cela peut la rendre vulnérable au piratage de carte SIMcarte SIM ou l’usurpation d’identité. Mais depuis un an, Signal permet de « détacher » ce numéro de l’application pour plus de sûreté.
De son côté, la France préfère employer l’application souveraine Olvid ou bien Tchap qui empêche d’inviter n’importe qui dans un groupe de discussion. Dans tous les cas, la multiplication des affaires autour de la messagerie sécurisé montre bien que la sécurité est considérée avec une certaine légèreté par l’administration Trump. L’obligation de l’archivage des échanges n’arrange rien.