L’application de communication TeleMessage Signal, utilisé par au moins un haut responsable de l’administration Trump pour archiver les messages, aurait déjà subi des violations qui illustrent les défauts de sécurité et auraient conduit sa société mère à imposer une pause de service cette semaine en attendant l’enquête. Désormais, selon les nouvelles découvertes détaillées du journaliste et chercheur en sécurité Micah Lee, la fonction d’archivage de TM Signal semble compromettre fondamentalement les garanties de sécurité phare de Signal, envoyant des messages entre l’application et les archives des messages d’un utilisateur sans cryptage de bout en bout, rendant ainsi les communications des utilisateurs accessibles à Téléssage.
Lee a effectué une analyse détaillée du code source Android de TM Signal pour évaluer la conception et la sécurité de l’application. En collaboration avec 404 Media, il avait précédemment signalé un hack de TM Signal au cours du week-end, qui a révélé certains messages utilisateur et autres données – un signe clair qu’au moins certaines données étaient envoyées non cryptées, ou en texte clair, au moins une partie du temps au sein du service. Cela semblerait à lui seul contredire les affirmations marketing de TeleMessage selon lesquelles TM Signal offre un «cryptage de bout en bout du téléphone mobile aux archives d’entreprise». Mais Lee dit que ses dernières découvertes montrent que le signal TM n’est pas crypté de bout en bout et que la société pourrait accéder au contenu des chats des utilisateurs.
“Le fait qu’il existe des journaux en texte clair confirme mon hypothèse”, a déclaré Lee à Wired. “Le fait que le serveur d’archives était si trivial pour quelqu’un de pirater, et que le signal TM avait un manque si incroyable de sécurité de base, c’était pire que ce à quoi je m’attendais.”
TeleMessage est une société israélienne qui a terminé son acquisition l’année dernière par la société d’archivage des communications numériques basée aux États-Unis SMARSH. TeleMessage est un entrepreneur fédéral, mais les applications de consommation qu’il propose ne sont pas approuvées pour une utilisation dans le cadre du programme fédéral de gestion des risques et de l’autorisation du gouvernement américain, ou Fedramp.
Smarsh n’a pas retourné les demandes de commentaires de Wired sur les conclusions de Lee. La société a déclaré lundi: «TeleMessage enquête sur un incident de sécurité potentiel. Lors de la détection, nous avons agi rapidement pour le contenir et engagé une entreprise de cybersécurité externe pour soutenir notre enquête.»
Les conclusions de Lee sont probablement importantes pour tous les utilisateurs de Telemessage, mais ont une importance particulière étant donné que le signal de TM a été utilisé par le conseiller à la sécurité nationale désormais formidable du président Donald Trump, Mike Waltz. Il a été photographié la semaine dernière en utilisant le service lors d’une réunion du Cabinet, et la photo a semblé montrer qu’il communiquait avec d’autres hauts fonctionnaires, dont le vice-président JD Vance, directeur américain du renseignement national Tulsi Gabbard, et ce qui semble être le secrétaire d’État américain Marco Rubio. Le signal TM est compatible avec le signal et exposerait les messages envoyés dans une conversation avec quelqu’un utilisant le signal TM, que tous les participants l’utilisent ou que certains utilisent l’application de signal authentique.
Lee a constaté que le signal TM est conçu pour enregistrer les données de communication du signal dans une base de données locale sur le périphérique d’un utilisateur, puis l’envoie à un serveur d’archives pour une rétention à long terme. Les messages, dit-il, sont envoyés directement au serveur d’archives, apparemment sous forme de journaux de chat en texte clair dans les cas examinés par Lee. La réalisation de l’analyse, dit-il, “a confirmé que le serveur d’archives a accès aux journaux de chat en texte clair.”
Les données tirées du serveur d’archives TeleMessage dans le piratage comprenaient des journaux de chat, des noms d’utilisateur et des mots de passe en texte clair, et même des clés de chiffrement privées.
Dans une lettre mardi, le sénateur américain Ron Wyden a appelé le ministère de la Justice à enquêter sur Telemessage, alléguant que c’est «une menace sérieuse pour la sécurité nationale des États-Unis».
“Les agences gouvernementales qui ont adopté Archiver TeleMessage ont choisi la pire option possible”, a écrit Wyden. «Ils ont donné à leurs utilisateurs quelque chose qui ressemble et ressent un signal, l’application de communication sécurisée la plus fiable.
