Le clone de Signal que Mike Waltz a été surpris en train d'utiliser a un accès direct aux discussions des utilisateurs

L'application de communication TeleMessage Signal, utilisée par au moins un haut responsable de l'administration Trump pour archiver ses messages, aurait déjà subi des failles de sécurité inquiétantes, ce qui a conduit sa société mère à imposer une suspension de service cette semaine dans l'attente d'une enquête. Or, selon de nouvelles conclusions détaillées du journaliste et chercheur en sécurité Micah Lee, la fonction d'archivage de TM Signal semble compromettre fondamentalement les garanties de sécurité phares de Signal, en envoyant des messages entre l'application et les archives de messages de l'utilisateur sans chiffrement de bout en bout, rendant ainsi les communications des utilisateurs accessibles à TeleMessage.

Lee a mené une analyse détaillée du code source Android de TM Signal afin d'évaluer la conception et la sécurité de l'application. En collaboration avec 404 Media, il avait déjà signalé un piratage de TM Signal ce week-end, qui avait révélé des messages d'utilisateurs et d'autres données – signe évident qu'au moins une partie des données étaient envoyées non chiffrées, ou en texte clair, au moins une partie du temps au sein du service. Ce seul fait semble contredire les affirmations marketing de TeleMessage selon lesquelles TM Signal offre un « chiffrement de bout en bout, du téléphone mobile jusqu'aux archives de l'entreprise ». Or, Lee affirme que ses dernières découvertes montrent que TM Signal n'est pas chiffré de bout en bout et que l'entreprise pourrait accéder au contenu des conversations des utilisateurs.

« L'existence de journaux en clair confirme mon hypothèse », explique Lee à WIRED. « Le fait que le serveur d'archives soit si facile à pirater et que TM Signal souffre d'un manque flagrant de sécurité de base, c'était pire que ce à quoi je m'attendais. »

TeleMessage est une entreprise israélienne qui a finalisé son acquisition l'année dernière par l'entreprise américaine d'archivage de communications numériques Smarsh. TeleMessage est un sous-traitant fédéral, mais les applications grand public qu'elle propose ne sontpas approuvées par le programme fédéral de gestion des risques et des autorisations (FedRAMP) du gouvernement américain.

Smarsh n'a pas répondu aux demandes de commentaires de WIRED concernant les conclusions de Lee. L'entreprise a déclaré lundi : « TeleMessage enquête sur un éventuel incident de sécurité. Dès sa détection, nous avons agi rapidement pour le contenir et avons fait appel à une société de cybersécurité externe pour soutenir notre enquête. »

Les conclusions de Lee sont probablement importantes pour tous les utilisateurs de TeleMessage, mais elles revêtent une importance particulière étant donné que TM Signal a été utilisé par Mike Waltz, ancien conseiller à la sécurité nationale du président Donald Trump. Il a été photographié la semaine dernière en train d'utiliser le service lors d'une réunion du cabinet, et la photo semblait montrer qu'il communiquait avec d'autres hauts responsables, dont le vice-président J.D. Vance, la directrice du renseignement national américain Tulsi Gabbard et ce qui semble être le secrétaire d'État américain Marco Rubio. TM Signal est compatible avec Signal et exposerait les messages envoyés lors d'une conversation avec un utilisateur de TM Signal, que tous les participants l'utilisent ou que certains utilisent l'application Signal originale.

Lee a découvert que TM Signal est conçu pour enregistrer les données de communication Signal dans une base de données locale sur l'appareil de l'utilisateur, puis les envoyer à un serveur d'archivage pour une conservation à long terme. Les messages, explique-t-il, sont envoyés directement au serveur d'archivage, apparemment sous forme de journaux de discussion en texte brut dans les cas examinés par Lee. L'analyse, dit-il, « a confirmé que le serveur d'archivage a accès aux journaux de discussion en texte brut ».

Les données récupérées sur le serveur d'archives TeleMessage lors du piratage comprenaient des journaux de discussion, des noms d'utilisateur et des mots de passe en texte clair, ainsi que des clés de cryptage privées.

Dans une lettre publiée mardi, le sénateur américain Ron Wyden a appelé le ministère de la Justice à enquêter sur TeleMessage, affirmant qu'il s'agit d'une « menace sérieuse pour la sécurité nationale des États-Unis ».

« Les agences gouvernementales qui ont adopté TeleMessage Archiver ont choisi la pire option possible », a écrit Wyden. « Elles ont offert à leurs utilisateurs une application qui ressemble à Signal, l'application de communication sécurisée la plus fiable. Or, les hauts fonctionnaires se sont vus offrir une copie de Signal de mauvaise qualité, qui représente de graves menaces pour la sécurité et le contre-espionnage. La menace que représente TeleMessage Archiver pour la sécurité n'est pas théorique. »