L'app dérivée de Signal utilisée par la Maison Blanche déjà piratée

Décidément l'administration Trump a quelques soucis avec l'utilisation des messageries sécurisées. Après l'épisode du Signalgate qui a précipité le départ de Mike Walz, conseiller à la sécurité nationale, c'est l'usage d'une application nommée TM SGNL de la société israélienne TeleMessage qui fait débat. Il s'agit une version modifiée de l'application Signal, plus connue, qui ont mis dans l'embarras des hauts fonctionnaires de l'administration en mars dernier, lorsque le journaliste Jeffrey Goldberg de The Atlantic a été accidentellement ajouté par M. Waltz à une discussion classifiée. Quand ce dernier a été photographié en train d'utiliser TM SGNL, des chercheurs ont commencé à essayer de trouver des informations sur ce service. Contrairement à Signal, l'application n'est pas publique et ne peut être téléchargée à partir de l'App Store d'Apple ou du Play Store de Google. Micah Lee, ingénieur logiciel et ancien journaliste de The Intercept, a finalement réussi à traquer le code source de TM SGNL, découvrant au moins une vulnérabilité grave, l'utilisation d'identifiants codés en dur.

Cela a mis en évidence la question liée à la sécurité de l'application. Cependant, depuis ce moment, M. Lee et le journaliste Joseph Cox ont été contactés par un hacker qui a fourni des preuves que la société derrière TM SGNL, TeleMessage, avait elle-même subi une violation de données, ont-ils affirmé dans un article de 404media. « Les données volées par le pirate contiennent le contenu de certains messages privés et chats de groupe envoyés à l'aide de son clone Signal, ainsi que des versions modifiées de WhatsApp, Telegram et WeChat », indiquent M. Lee et M. Cox. « Les informations comprennent le contenu apparent des messages, les noms et les coordonnées des fonctionnaires, les noms d'utilisateur et les mots de passe du panneau de gestion de TeleMessage, ainsi que des indications sur les agences et les entreprises qui pourraient être clientes de TeleMessage », ont-ils ajouté. Selon le spécialiste en cybersécurité interrogé, non identifié, cette violation a pris « environ 15 à 20 minutes » et « n'a pas demandé beaucoup d'efforts. » 

Aucun contrôle public

Si le scandale du « Signalgate » du mois de mars dernier a été marqué par la négligence, la révélation que M. Waltz et d'autres utilisent désormais une application dont personne ou presque n'a entendu parler auparavant est une affaire tout à fait étrange. Dans une série d'articles de blog publiés ce week-end, M. Lee a commencé à lever le voile sur une application utilisée par certaines des personnes les plus haut-placées de l'administration américaine, bien qu'elle semble n'avoir fait l'objet d'aucun audit. C'est probablement la première révélation : l'attrait de l'application semble résider dans sa discrétion. Son code est basé sur celui de Signal sous licence GNU General Public License version 3 (GPLv3) et envoie et reçoit des messages via l'infrastructure serveur de Signal. Comme l'application officielle, ces messages sont également chiffrés de bout en bout (E2EE). Cependant, dans une vidéo explicative, les créateurs de l'application ont déclaré que TM SGNL a été modifiée pour ajouter la possibilité d'archiver les messages. M. Lee a supposé que cela signifiait copier les messages en clair avant qu'ils ne soient chiffrés par TM SGNL, après quoi ils sont envoyés vers un serveur d'archivage dans le cloud. Une découverte qui poussé au passage Signal a sortir le parapluie en faisant savoir dans une courte déclaration « ne pas pouvoir garantir les propriétés relatives à la protection de la vie privée ou à la sécurité des versions non officielles de son application. »

Les messages dans TM SGNL sont donc chiffrés de bout en bout, mais pas sécurisés de bout en bout, car ils existent à deux endroits : sur le terminal (où réside la clé privée de l'utilisateur) et ailleurs (où une clé accessible distincte est utilisée). Cet archivage pourrait être la raison pour laquelle TM SGNL est utilisé : il permet aux fonctionnaires de se conformer aux règles relatives à la conservation des documents gouvernementaux. Mais un pirate pourrait-il cibler ces archives ? Bien qu'il n'y ait aucune preuve que cela se soit produit, selon M. Lee et M. Cox, le serveur que le hacker a violé se trouvait sur le même serveur AWS que celui utilisé pour l'archivage : « En examinant le code source de l'application Signal modifiée de TeleMessage pour Android, 404 Media a confirmé que l'application envoie des données de message à ce point final. Ce dernier a également envoyé une requête HTTP à ce serveur pour confirmer qu'il était en ligne », ont déclaré M. Lee et M. Cox. Ce seul fait devrait soulever de sérieuses questions en matière de sécurité. En outre, M. Lee a découvert que TM SGNL utilise des identifiants codés en dur. Il s'agit d'une faille assez courante, mais elle est incroyablement négligente et poserait un risque de sécurité immédiat si un pirate mettait la main sur le code source. « Le fait que M. Waltz utilise la version TeleMessage de Signal met en évidence la tension et la complexité associées au fait que de hauts fonctionnaires communiquent sur des sujets sensibles à l'aide d'une application qui peut être configurée pour faire disparaître les messages : Les fonctionnaires sont tenus de conserver des enregistrements de leurs communications, mais l'archivage, s'il n'est pas géré correctement, peut potentiellement introduire des risques de sécurité pour ces messages », a noté M. Cox dans un autre article.

La question la plus profonde est de savoir pourquoi tant de fonctionnaires semblent enclins à utiliser des applications telles que Signal ou TM SGNL, alors qu'il existe des systèmes gouvernementaux sécurisés dédiés et éprouvés. Les spéculations à ce sujet abondent. Ce qui est clair, cependant, c'est que quelle que soit la raison, elle a conduit les fonctionnaires à faire des suppositions étonnamment risquées sur la sécurité des applications pour smartphones qui doivent être réévaluées.