2 points par GN⁺ 2025-05-02 | 2 commentaires | Partager sur WhatsApp
  • Pete Hegseth, secrétaire américain à la Défense, semble avoir installé dans son bureau du Pentagone un ordinateur personnel relié directement à l’internet public, qu’il aurait cherché à utiliser avec Signal, l’application privilégiée par des responsables de l’administration Trump
  • Son bureau dispose déjà de moyens de communication officiels et sécurisés comme CMS, DRSN, NIPRNet, SIPRNet, JWICS et Webex, certains équipements prenant même en charge des échanges jusqu’au niveau TS/SCI
  • Comme l’usage de Signal était difficile ou non autorisé sur les ordinateurs gouvernementaux ou sur les smartphones approuvés pour les échanges classifiés, Hegseth a d’abord utilisé une zone Wi‑Fi à l’arrière du bureau, avant de demander une ligne internet directe pour son bureau
  • Cette ligne contournait les protocoles de sécurité du Pentagone pour se connecter directement à l’internet public et, étant moins surveillée que NIPRNet, elle augmentait les risques de sécurité
  • Le secrétaire à la Défense dispose pourtant d’un centre de communication SecDef Cables, exploité par 26 militaires et 4 civils, mais c’est précisément la volonté d’utiliser un équipement personnel séparé et Signal qui alimente la controverse

Les équipements de communication officiels du bureau de Hegseth

  • Comme ses prédécesseurs, Pete Hegseth a accès à plusieurs téléphones sécurisés et non sécurisés ainsi qu’à des réseaux informatiques
  • Les équipements sont installés sur une table derrière le grand bureau du secrétaire au Pentagone, et la configuration n’a pas fondamentalement changé depuis l’époque de Chuck Hagel, secrétaire à la Défense entre 2013 et 2015
  • Équipements téléphoniques

    • Sur un support en bois se trouvent un Cisco IP Phone 8841 et un module d’extension à 14 touches, qui font partie du Crisis Management System (CMS)
    • Le CMS relie le président, le National Security Council, les membres du cabinet, le Joint Chiefs of Staff et d’autres hauts responsables du gouvernement
    • Le cadre jaune vif indique que l’appareil peut servir à des conversations de niveau Top Secret/Sensitive Compartmented Information, soit TS/SCI
    • Sous le support en bois, un Integrated Services Telephone-2, ou IST-2, est placé presque hors de vue
    • L’IST-2 peut être utilisé pour des appels sécurisés comme non sécurisés et fait partie du Defense Red Switch Network (DRSN) ou du service Multilevel Secure Voice
    • Le DRSN est le principal système destiné aux conversations militaires classifiées, reliant la Maison-Blanche, les centres de commandement militaire, les agences de renseignement et les alliés de l’OTAN
    • Devant l’IST-2 se trouve un autre Cisco IP Phone 8841 avec un module d’extension à 14 touches, dont le cadre vert indique qu’il sert aux appels non classifiés
    • Ce téléphone fait partie du réseau téléphonique interne du Pentagone et remplace le téléphone de direction Avaya Lucent 6424 visible sur des photos de 2021
  • Ordinateurs et équipements de visioconférence

    • À côté des téléphones se trouvent deux écrans d’ordinateur affichant un fond d’écran vert clair, signe d’une connexion à un réseau non classifié
    • Il s’agit très probablement de NIPRNet
    • Sur des photos du bureau de l’ancien secrétaire à la Défense Lloyd Austin, on voit aussi un commutateur KVM permettant de basculer en toute sécurité entre SIPRNet et JWICS avec le même clavier, écran et souris
    • À droite de la table se trouvent deux écrans de visioconférence Cisco Webex DX80
    • L’étiquette jaune sur l’équipement de droite indique qu’il est approuvé pour le niveau TS/SCI
    • Cet équipement appartient probablement au CMS et peut être considéré comme le successeur du Secure Video Teleconferencing System (SVTS)
    • L’autre écran pourrait servir à des visioconférences d’un niveau de classification inférieur

Un ordinateur personnel pour utiliser Signal

  • Hegseth a insisté pour utiliser Signal alors qu’il disposait pourtant de nombreuses options de communication adaptées et sûres via les canaux gouvernementaux
  • Il semble que Signal ne pouvait pas être installé, ou n’était pas autorisé, sur les ordinateurs gouvernementaux ni sur les smartphones approuvés pour des conversations classifiées
  • Selon AP News, Hegseth se rendait d’abord dans une zone à l’arrière de son bureau où il pouvait accéder au Wi‑Fi afin d’utiliser Signal
    • On ne sait pas s’il utilisait alors un ordinateur portable personnel ou un smartphone personnel
    • L’usage de l’un ou l’autre de ces appareils dans une telle zone sécurisée était très probablement strictement interdit
  • Hegseth a ensuite demandé une connexion internet lui permettant d’utiliser son propre ordinateur depuis son bureau
    • Cette ligne était reliée directement à l’internet public
    • Elle contournait les protocoles de sécurité du Pentagone
  • Le nouvel ordinateur de bureau visible sur une photo du 20 mars 2025 semble être cet équipement
    • Il n’apparaissait pas encore sur une photo du 21 février 2025
    • Il ne porte pas non plus d’étiquette indiquant un niveau de classification

La nature de cette ligne directe vers l’internet public

  • D’autres employés du Pentagone utilisent eux aussi, dans certains cas, des lignes directement connectées à l’internet public
    • Par exemple lorsqu’ils ne veulent pas être identifiés via une adresse IP attribuée au Pentagone
  • Ces lignes directes sont risquées car elles sont moins surveillées que NIPRNet
    • NIPRNet est un réseau non classifié qui autorise un accès limité à l’internet externe
  • Hegseth a installé Signal sur ce nouvel ordinateur de bureau
    • Cela revenait de fait à dupliquer l’application Signal présente sur son smartphone personnel
  • Selon certaines sources médiatiques, Hegseth s’est également intéressé à l’installation sur cet ordinateur personnel d’un programme permettant d’envoyer des SMS classiques
  • L’objectif était de contourner la faiblesse de la couverture mobile dans une grande partie du Pentagone et de communiquer plus facilement avec la Maison-Blanche et d’autres responsables de l’administration Trump utilisant Signal
  • Dans une vidéo publiée sur X le 5 mai 2025, le nouvel ordinateur non autorisé semble avoir été retiré, au moins du bureau de Hegseth

Le centre de communication SecDef Cables

  • Les efforts importants déployés par Hegseth pour utiliser Signal ressortent d’autant plus qu’un centre de communication dédié existe déjà pour le secrétaire à la Défense
  • Ce centre est généralement appelé SecDef Cables et fait partie de l’unité Secretary of Defense Communications (SDC)
  • SecDef Cables assure la gestion de l’information opérationnelle et sert de centre de soutien au commandement et au contrôle
    • 26 militaires et 4 civils y travaillent
    • Il fournit au secrétaire à la Défense et à son état-major immédiat, quel que soit l’endroit où ils se trouvent, des capacités voix, vidéo et données sur plusieurs plateformes et niveaux de classification
  • SecDef Cables sert aussi de point de liaison avec plusieurs centres de communication majeurs
    • National Military Command Center (NMCC)
    • White House Situation Room
    • State Department Operations Center
    • d’autres centres de communication similaires
  • Cables gère également les liaisons Defense Telephone Link (DTL)
    • Le DTL est une hotline de bas niveau reliant des interlocuteurs militaires d’environ 25 pays, dont la Russie et la Chine

2 commentaires

 
GN⁺ 2025-05-02
Commentaires sur Hacker News
  • Les autres membres des Five Eyes devraient faire attention à ce qu’ils partagent avec les États-Unis pendant que cette affaire suit son cours.
    La cryptographie à clé publique utilisée par Signal est suffisamment bonne pour la plupart des usages, et excellente pour des choses comme les transactions par carte bancaire. Mais pour transmettre des secrets d’État, le problème est qu’il est difficile d’en attendre une confidentialité à long terme.
    Un message envoyé aujourd’hui sur Signal peut être conservé sous forme chiffrée, puis attaqué dans dix ans avec le matériel et les algorithmes de l’époque. Le chiffrement de Signal pourrait alors encore être solide, mais il pourrait aussi être facile à casser. Si le secret contenu dans ce message reste sensible dans dix ans, c’est un problème.
    Ce qui est envoyé via Signal doit être traité comme une publication à délai inconnu, ce qui est une condition difficilement acceptable si l’on partage des informations avec les États-Unis.

    • Les algorithmes cryptographiques de Signal eux-mêmes sont corrects. Le problème, c’est que l’environnement d’exécution est un appareil grand public connecté à l’Internet public, et qu’il est difficile de croire que quelqu’un qui fait cela installe les correctifs à temps.
      Un seul zero-day ou un clic imprudent peut suffire à un adversaire pour accéder aux messages, voire en envoyer. La fonction de messages éphémères de Signal réduit le premier risque, mais entre en conflit avec les lois sur la conservation des archives gouvernementales.
      Si l’accès aux systèmes gouvernementaux est restreint, ce n’est pas parce qu’ils seraient magiquement immunisés contre les failles de sécurité, mais parce que de vraies équipes spécialisées et qualifiées les surveillent et prennent des mesures de sécurité proactives. Son téléphone peut être exposé à des SMS/MMS suspects envoyables par n’importe qui dans le monde dès lors qu’on connaît son numéro, et même une simple licence de spyware commercial peut représenter un risque ; à l’inverse, un ordinateur classifié sur un réseau sécurisé ne peut pas recevoir ce type de trafic, sa configuration est verrouillée, et une compromission y est détectée beaucoup plus rapidement.
      Le contexte plus large est essentiel. C’est un peu comme si le propriétaire d’une banque confiait la gestion à un ami de golf ivre, et que celui-ci commençait à garder les livres de comptes dans sa voiture parce que c’est plus pratique. Même si la personne est parfaitement de bonne foi et veut bien faire, c’est un comportement qui n’apporte rien à personne et qui augmente fortement des risques qu’elle n’est pas prête à assumer.
    • Je me demande quel autre chiffrement on voudrait utiliser pour des secrets d’État. On dirait qu’il y a l’idée implicite que le gouvernement ou les agences de renseignement disposent de systèmes cryptographiques bien supérieurs, mais à ma connaissance, Signal est très proche de l’état de l’art.
      Signal n’est pas une approche naïve consistant à chiffrer/déchiffrer simplement les messages avec une clé publique, comme avec RSA. Il utilise d’abord une paire de clés asymétriques pour effectuer un échange de clés Diffie-Hellman et créer une clé symétrique à usage unique, puis chiffre/déchiffre avec cette clé. Cela garantit aussi la confidentialité persistante : https://signal.org/blog/asynchronous-security/
      Aujourd’hui, ils ajoutent aussi des mécanismes de cryptographie post-quantique, et il y a probablement beaucoup d’autres détails que j’omets.
    • Même si l’implémentation cryptographique de Signal est sûre, il est très probable que l’appareil qui l’exécute ne satisfasse pas aux exigences TEMPEST. La plupart des solutions de chiffrement grand public sont vulnérables d’une manière ou d’une autre aux attaques par canal auxiliaire.
    • Le fait que « ce qui est envoyé via Signal doit être traité comme une publication à délai inconnu » est déjà pris en compte, et tous les systèmes cryptographiques utilisés par les gouvernements sont abordés sous cet angle.
      Ce qui compte, c’est que le délai supposé avant divulgation puisse être de quelques semaines ou de quelques années, et que le niveau de sécurité soit ajusté à un niveau raisonnable pour l’usage concerné.
      Si une information ne doit absolument jamais être divulguée, le chiffrement n’est pas la solution, et en général les ordinateurs ne le sont pas non plus.
    • Mon conseil serait différent : il ne faut pas partager de secrets d’État avec les États-Unis.
      Ces secrets se trouveront dans des comptes cloud mal configurés, ou transiteront entre de tels comptes. Une agence finira un jour par obtenir l’autorisation de les analyser à des fins de renseignement financier, et la possibilité qu’ils aient fuité, ou une fuite confirmée, donnera aux États-Unis une dénégation plausible lorsqu’ils en feront un mauvais usage.
  • L’hypocrisie est énorme
    https://www.theguardian.com/us-news/2016/sep/02/hillary-clin...
    https://www.theguardian.com/us-news/2016/jul/05/fbi-no-charg...
    Aussi :
    https://www.fbi.gov/news/press-releases/statement-by-fbi-dir...
    « Pour être clair, cela ne veut pas dire qu’une personne qui agirait ainsi dans des circonstances similaires ne subirait aucune conséquence. Au contraire, ces personnes font souvent l’objet de sanctions de sécurité ou administratives. Mais ce n’est pas ce que nous évaluons ici »

    • Ce qu’elle a fait était bel et bien fautif, sans aucun doute. Il fallait enquêter et traiter l’affaire correctement
      Mais il ne faut pas faire passer la négligence d’une secrétaire d’État dans le traitement de documents classifiés pour une affaire équivalente, ou même liée, au fait qu’un secrétaire à la Défense ait partagé des plans d’attaque programmés et contourné activement la sécurité de l’information. Surtout après les critiques virulentes et l’enquête visant l’affaire de la secrétaire d’État
      Espérer que les responsables gouvernementaux s’améliorent au lieu de stagner ou d’empirer, ce n’est pas de l’hypocrisie
    • La chaîne Legal Eagle a analysé les deux situations dans « Signal War Plans v.s. Hillary's Emails » :
      https://www.youtube.com/watch?v=cw1tNTIEs-o
      Les deux situations ne sont en réalité pas équivalentes sur le plan juridique. L’une des grandes différences est que le groupe de Hesgeth avait configuré les communications pour qu’elles soient automatiquement supprimées, ce qui contrevient aux lois sur la conservation des archives. Il n’existe aucune preuve que Clinton ait supprimé des e-mails
    • Ses e-mails n’ont jamais été conçus pour contenir des documents classifiés, et toutes les protections actuellement contournées auraient normalement été appliquées
      Tous les expéditeurs et destinataires (hors bcc) savaient ou pouvaient savoir qu’elle n’utilisait pas une adresse e-mail .gov, et ont donc, dans une certaine mesure, participé à l’utilisation de ce serveur ou l’ont tacitement acceptée
      Il arrive que des documents non classifiés à l’époque soient classifiés plus tard, ou qu’un expéditeur provoque une fuite en envoyant des informations classifiées, obligeant les destinataires à participer à des suppressions, enquêtes, etc.
      Utiliser un serveur externe était une mauvaise chose, mais c’était en même temps visible publiquement dès le départ
    • « En examinant les enquêtes portant sur la mauvaise gestion ou l’exfiltration d’informations classifiées, nous ne trouvons pas, au vu de ces faits, d’affaire susceptible d’étayer des poursuites pénales. Dans toutes les affaires ayant donné lieu à des poursuites, on retrouve une combinaison de certains éléments : une négligence clairement intentionnelle et délibérée dans le traitement d’informations classifiées, une exposition d’un volume de documents suffisamment important pour permettre de déduire une conduite illégale intentionnelle, des signes de déloyauté envers les États-Unis, ou des tentatives d’entrave à la justice »
      Vraiment hypocrite
    • C’est du whataboutisme classique
  • Indépendamment des questions de sécurité opérationnelle et de responsabilité individuelle, je vois aussi cela comme un nouvel exemple de « la sécurité obtenue au détriment de l’utilisabilité se fait au détriment de la sécurité »
    Les équipements de communication officiels du DoD sont tellement médiocres que, si les gens pensent pouvoir ne pas se faire prendre, ils utilisent une plateforme de communication chiffrée moins sûre mais plus facile à utiliser
    Le DoD devrait peut-être développer un Android interne et un fork de Signal avec des contrôles de sécurité essentiels supplémentaires, sans nuire à l’utilisabilité. On voit ici clairement un chemin du désir

    • Ils utilisent des communications non officielles pour éviter les archives officielles et la traçabilité des responsabilités, cela n’a rien à voir avec la facilité d’utilisation
    • Ce n’est pas seulement une question de « s’ils pensent pouvoir ne pas se faire prendre ». La sécurité implique des compromis et des arbitrages
      Les humains sont stupides : ils réutilisent leurs mots de passe, installent des logiciels meilleurs mais moins sûrs, ne font pas les mises à jour, etc. C’est une vieille histoire qui se répète
      Si, en 2025, on ne peut pas communiquer avec n’importe qui sur Terre aussi simplement qu’en ouvrant une app et en tapant un message, les gens trouveront d’autres moyens. Parce qu’il existe environ mille meilleures façons de faire
      Il est donc plus probable qu’il ne s’agisse pas de faire quelque chose en cachette, mais simplement de préférer une option un peu plus facile aux fonctionnalités de sécurité pénibles des communications gouvernementales, comme les tokens physiques, la biométrie lente ou les déconnexions au bout de 15 secondes. N’importe qui pourrait faire ce choix
      Cette affaire poussera peut-être les responsables de la sécurité des communications du gouvernement à réévaluer leurs pratiques. Je ne défends pas ce comportement, je propose une explication possible ; et lorsqu’on évalue un échec de sécurité, blâmer les utilisateurs n’est pas toujours la meilleure approche
    • C’est en partie vrai. Il existait aussi un Android fonctionnant sur General Dynamics OKL4 et sur l’INTEGRITY RTOS de Green Hills, et Signal pourrait y être porté
      S’ils le voulaient, ils auraient aussi pu prendre en charge directement une couche de séparation utilisable par n’importe quel fournisseur. À mon avis, l’influence des décisions d’achat des grands groupes — autrement dit la corruption — est à l’origine d’une bonne partie de ces problèmes
    • Il dispose d’une équipe de 30 assistants dont le travail est de le mettre en relation avec qui il veut. Est-ce que l’utilisabilité d’un service de conciergerie dédié de plus de 20 personnes serait inférieure à celle de Signal dans un bâtiment où même le signal mobile passe mal ?
  • Si l’on confie les responsabilités à quelqu’un qui n’a absolument pas les qualifications requises et qui a même des antécédents d’abus d’alcool, il fallait au moins vérifier qu’il était compétent.
    C’est vraiment agaçant de voir une personne dotée du plus haut niveau d’autorité se comporter comme si cette tâche était indigne d’elle. On a l’impression d’assister à l’écriture de l’histoire par les plus privilégiés et incompétents d’entre nous.

    • Désormais, il sera presque impossible de regarder une nouvelle série ou un film de thriller politique où le gouvernement américain est censé être dirigé par des personnes sérieuses et compétentes.
      C’est trop éloigné de la réalité des responsables politiques d’aujourd’hui, au point qu’il devient presque impossible de suspendre son incrédulité pour en profiter. Cela me rappelle la récente série embarrassante avec De Niro.
    • Toute cette administration a été sélectionnée sur le critère de la loyauté. Dans un tel environnement, la compétence devient une menace.
    • Il est peut-être assez courant que l’histoire soit écrite par des gens privilégiés et incompétents. Ce n’est pas une excuse, mais il nous est difficile de nous en rendre compte parce que ce sont précisément ces gens-là qui ont fini par écrire le récit eux-mêmes.
    • La compétence fait partie des qualifications, donc ce que vous demandez est théoriquement impossible.
    • Les antécédents d’abus d’alcool devraient constituer un motif de refus d’habilitation de sécurité aux États-Unis.
      On peut facilement manipuler quelqu’un en lui faisant boire pour lui soutirer des secrets, ou en provoquant un “état d’esprit d’ivresse” lors d’une conversation en tête-à-tête pour obtenir des informations confidentielles. Et en plus, il y a eu la grosse erreur d’utiliser Signal, autrement dit le #signalgate.
  • Imaginons que l’on travaille pour un service de renseignement d’un pays autre que les États-Unis. Comment trouverait-on, sur l’Internet public, l’ordinateur personnel du bureau de Hegseth ? C’est une expérience de pensée sérieuse.

    • Il suffit d’écrire un article qu’il aurait envie de lire, d’en diffuser le lien, puis de moissonner les données du navigateur, comme le font d’autres sites web.
    • Je ferais poireauter Witkoff huit heures dans un hôtel, pendant qu’une équipe, dans la pièce d’en face, s’introduirait sans fil dans son téléphone pour accéder à ses conversations Signal.
      https://news.sky.com/story/trumps-fixer-was-made-to-wait-eig...
      Pour son PC personnel, il suffit d’envoyer Big Ballz lui faire quelques mises à niveau.
      https://www.npr.org/2025/04/15/nx-s1-5355896/doge-nlrb-elon-...
      Ou alors une antenne Starlink gratuite ferait aussi l’affaire.
      https://www.nytimes.com/2025/03/17/us/politics/elon-musk-sta...
    • Il suffit de lui envoyer un lien par message Signal. Son numéro de téléphone est largement connu, et il a installé Signal sur son ordinateur de bureau.
      Le protocole Signal protège les messages en transit. Mais l’application desktop peut, ou non, contenir une vulnérabilité côté client. Et s’il clique sur le lien, il sort de Signal pour passer dans le navigateur. Si le lien déclenche le téléchargement d’un fichier, on passe alors dans le système d’exploitation.
    • Avec cette technique de triangulation, on peut trouver le trafic à destination de la Maison-Blanche :
      https://news.ycombinator.com/item?id=42780816
      Le titre est “0-click deanonymization attack targeting Signal, Discord, other platforms”.
      Ce n’est peut-être plus du 0-click aujourd’hui, mais cela s’applique toujours si l’utilisateur navigue sur Internet.
    • Il suffit de compromettre l’appareil de l’un de ses contacts, puis de lui envoyer sur Telegram un lien attrayant, et de faire en sorte qu’en l’ouvrant sur son téléphone il affiche “Error: Not viewable on mobile”.
      Bonus si le lien contient un dropper de malware zero-day.
  • Je pense qu’une série à la West Wing, où tout le monde se prend très au sérieux, mais avec une incompétence flagrante et omniprésente en toile de fond, pourrait être assez réussie.
    Un drame d’idiots qui ne serait pas drôle du tout, ne se donnerait pas l’air d’une satire et ne ferait aucun clin d’œil au public. J’aimerais entrer dans la tête de ces gens bizarres.

    • C’est plus ou moins “Veep”. “In The Loop”, “The Thick Of It”, ou la plupart des œuvres d’Armando Iannucci aussi, probablement.
    • On dirait que tu parles de Veep. C’est plus proche de “gens insupportables” que d’“idiots”, mais il y a largement assez des deux.
    • “Burn After Reading” est un peu éloigné du cœur du pouvoir, mais montre très bien une majorité d’idiots qui tentent de s’immiscer dans le monde, horrifié et hors champ, des professionnels. Cela ressemble à un présage.
    • The Office, version Maison-Blanche.
    • Veep est un documentaire.
  • a) Dans la réalité, l’environnement de communication des responsables administratifs, ce sont trois téléphones et quatre moniteurs posés sur un bureau — pas sur des bras ni fixés au mur —, le tout sur un bureau en bois anachronique encombré de bric-à-brac.
    b) En revanche, dans les films “d’espionnage”, des interfaces sombres affichent des graphiques clinquants façon hacker sur quatre moniteurs en mosaïque montés sur bras, sous un éclairage tamisé ; le responsable ne regarde pas les petits écrans, ce sont ses subordonnés qui les regardent, tandis que lui ne consulte que l’écran mural de 136 pouces pour visioconférer avec les méchants.
    Le contraste est vraiment hilarant.

    • Et c) en Russie, quelqu’un regarde probablement les communications d’espionnage sur un téléphone portable civil en étant assis aux toilettes.
  • Je ne vois que deux explications possibles :

    1. vouloir éviter que des responsables corrompus du renseignement d’origine électromagnétique sachent ce qu’il fait ;
    2. vouloir contourner les lois sur les archives officielles afin que le gouvernement ne puisse pas détecter sa corruption.
      Y en a-t-il d’autres ?
      1. c’est un imbécile qui n’a réfléchi à rien et qui a été recruté pour sa loyauté, pas pour son cerveau.
    • C’est peut-être pour la même raison que des ados parlent d’un projet scolaire par DM Instagram : c’est simplement la plateforme qui leur est familière.
      Ou la même raison pour laquelle j’utilise Whatsapp : les conversations de mon groupe social s’y déroulent, et sans ça je suis exclu.
      Les explications supposent un sens plus profond, comme si les compromis entre les différentes plateformes de communication avaient été évalués pour aboutir à une conclusion rationnelle, mais il y a peu d’éléments qui le prouvent.
      Il se peut simplement que les gens autour de Trump aient pris par hasard l’habitude de communiquer sur Signal, et que Pete ait dû suivre le mouvement sous peine d’être exclu.
  • Je plains les développeurs de Signal. Avant, ils n’étaient pas une cible personnelle d’acteurs étatiques ; désormais, ils le sont.
    Quoi qu’on pense de l’ergonomie des solutions développées en interne par le DoD, il s’agissait de systèmes militaires soutenus par un budget de défense et par des armes, et les civils étaient moins susceptibles de subir des dommages collatéraux lors d’attaques contre ce type de systèmes.
    Désormais, tout civil utilisant Signal peut devenir une victime des éclats d’un conflit militaire.
    Je ne pense pas non plus que Signal ait le budget, les effectifs ou la volonté de jouer le rôle de soldat en première ligne de la cyberguerre. Mais, qu’il le veuille ou non, il est exposé à des risques de niveau militaire.

    • Au vu des usages passés, Signal et ses développeurs étaient probablement déjà ciblés depuis longtemps.
      Il y avait aussi les forces de l’ordre et des sociétés d’investigation numérique comme Cellebrite, ce qui a d’ailleurs amené Signal à riposter avec un billet de blog assez amusant : https://signal.org/blog/cellebrite-vulnerabilities/
 
unsure4000 2025-05-02

Comme toujours, l’être humain reste la plus grande vulnérabilité.