1 points par GN⁺ 2025-05-04 | 1 commentaires | Partager sur WhatsApp
  • Une photo du téléphone de Mike Waltz, membre de l’administration Trump, montre ce qui semble être une version non officielle de Signal destinée à l’archivage des messages
  • Waltz était conseiller à la sécurité nationale des États-Unis jusqu’à jeudi, ce qui relance les questions sur le niveau de classification des informations que les responsables publics discutent sur Signal
  • Une photo de Reuters montre Waltz consultant son téléphone pendant une réunion du cabinet à la Maison-Blanche présidée par Donald Trump
  • À l’écran, on peut voir des messages de hauts responsables gouvernementaux comme JD Vance, Tulsi Gabbard et Marco Rubio
  • En bas de l’écran apparaît un texte ressemblant au message de vérification du PIN de Signal, attirant aussi l’attention sur la protection contre le piratage de compte et sur la manière dont les messages sont archivés

L’usage d’une version non officielle de Signal révélé par une photo

  • Une photo du téléphone de Mike Waltz a capté l’utilisation d’une application qui semble être une version non officielle de Signal
  • Cette version serait conçue pour archiver les messages
  • Waltz était jusqu’à jeudi National Security Advisor des États-Unis

Le contexte de la photo de Reuters

  • La photo publiée par Reuters montre Waltz en train de consulter son téléphone pendant une réunion du cabinet organisée par Donald Trump à la Maison-Blanche
  • Des messages de plusieurs hauts responsables gouvernementaux sont visibles à l’écran
    • JD Vance
    • Tulsi Gabbard
    • Marco Rubio

Le message PIN de Signal et le contexte de sécurité

  • En bas de l’écran du téléphone de Waltz, on voit un texte qui ressemble au message de vérification du PIN habituel de Signal
  • Le message de vérification du PIN de Signal peut s’afficher pour inciter l’utilisateur à se souvenir de son PIN
  • Le PIN peut servir à empêcher qu’une autre personne ne prenne le contrôle du compte

Les questions pratiques qui restent

  • Si cette version non officielle de Signal est utilisée pour archiver les messages, la question centrale devient le niveau de classification des informations que les responsables publics y discutent
  • La manière dont les données archivées sont sécurisées reste également un point à éclaircir

1 commentaires

 
GN⁺ 2025-05-04
Avis sur Hacker News
  • https://archive.ph/oXYXe

  • Des agences gouvernementales ont déjà payé par le passé pour des versions de messageries chiffrées avec fonction d’archivage. En 2021, le CBP a versé 700 000 dollars à Wickr.
    Ce genre d’usage semble parfaitement correspondre à quelque chose que Signal pourrait prendre en charge. De grandes entreprises ou des agences gouvernementales pourraient payer directement les développeurs de l’app pour un fork personnalisé ; je ne vois pas pourquoi TeleMessage encaisse l’argent. La Signal Foundation ne facilite-t-elle pas la mise en œuvre de forks payants ?

    • Si Signal devient financièrement dépendant de contrats gouvernementaux, le gouvernement aura une forte influence sur l’app. Il ne semble pas très souhaitable que cette plateforme se retrouve dans une telle position.
    • Wickr appartient à AWS et n’existe désormais plus que comme produit pour les gouvernements/entreprises. La version grand public a été abandonnée.
    • Probablement que 90 % du travail ne relève pas du code, mais de la conformité réglementaire et du passage des procédures de contrats publics.
    • Signal doit peut-être consacrer toutes ses ressources au développement de l’app principale, au service de sa mission initiale : des communications sécurisées pour le grand public.
    • Katherine Maher, PDG de NPR, est présidente du conseil d’administration de la Signal Foundation.
  • « TM SGNL » semble désigner le logiciel d’une société appelée TeleMessage. Cette entreprise crée des clones d’apps de messagerie populaires et ajoute à chacune une fonction d’archivage.

    • Effrayant. Ce n’est même pas une entreprise américaine.
  • Je ne vois pas l’intérêt d’utiliser Signal si c’est pour laisser une entreprise étrangère intercepter les communications. Ils voulaient sans doute l’UX d’un produit commercial plutôt que l’expérience utilisateur lourde d’une app approuvée par le gouvernement, mais quelqu’un sait quelles étaient les alternatives ?

    • Tout s’explique beaucoup mieux si l’on cesse de supposer que ces gens ont la moindre capacité intellectuelle.
      Signal est approuvé pour des usages gouvernementaux, mais pas pour des informations non publiques du ministère de la Défense. Signal peut servir pour dire « viens dans le SCIF, on discutera des détails là-bas », mais le contenu détaillé doit être discuté dans un environnement sécurisé.
    • Traditionnellement, pour échanger des informations non classifiées, on utilisait simplement le réseau téléphonique classique. Mais selon la CISA, les services voix et SMS des grands opérateurs ne sont plus considérés comme sûrs.
      La CISA a recommandé à la place d’utiliser des services chiffrés de bout en bout, en mentionnant explicitement Signal.
      https://investigations.cooley.com/2025/01/15/federal-law-enf...
    • L’alternative, c’est de ne pas installer Signal sur un téléphone infecté par un spyware. Il ne s’agit pas d’une « interception » de type attaque de l’homme du milieu, mais d’une extraction par surveillance du téléphone personnel sur lequel Signal est installé.
      Signal reste au bout du compte une simple app sur un téléphone. Si on veut l’utiliser pour des communications secrètes, il faut réduire au minimum — voire supprimer — les autres logiciels sur ce téléphone, et le protéger par tous les moyens possibles : mot de passe, chiffrement, etc.
    • Peut-être qu’ils devaient informer leurs gestionnaires étrangers de ce qu’ils faisaient. C’est peut-être quelque part dans le contrat.
  • Je me demande s’il est vraiment nécessaire d’accepter des failles de sécurité juste pour archiver. De toute façon, il suffirait de demander à Israël et à Pegasus pour obtenir une copie archivée.

    • Attends, c’était bien une entreprise israélienne.
  • Pour donner quelques détails, TeleMessage était — ou est peut-être encore — une société israélienne [1], mais elle a été rachetée l’an dernier par la société américaine Smarsh [2], et Smarsh elle-même est une filiale de la société américaine K1 Investment Management. Je ne sais pas si l’entreprise a été déplacée.
    Ce n’est peut-être pas directement lié, mais les conditions d’utilisation semblent aussi contenir une clause distincte sur la messagerie en Chine, avec apparemment des divulgations au gouvernement chinois. Le fonctionnement de l’app n’est pas clair. Elle est présentée comme un fork du client Signal et semble téléverser tout le contenu vers un serveur distant ; dans ce cas, évidemment, le chiffrement de bout en bout est rompu, sauf à considérer l’archive comme une extrémité réceptrice et à estimer que cette connexion est sécurisée. L’interface semble aussi être promue comme identique à celle de Signal.
    Or les clients Signal iOS et Android sont tous deux sous AGPLv3. Je n’ai trouvé aucun signe indiquant que le client TeleMessage ne serait pas un logiciel propriétaire. Dans ce cas, est-ce qu’ils fournissent le logiciel et le code source uniquement à leurs clients payants au titre de l’AGPLv3, avec la possibilité pour ces clients de les redistribuer ? Ont-ils entièrement réimplémenté le client ? Ou bien est-ce un fork propriétaire illégal ? La première hypothèse paraît peu probable, et les deux dernières sont assez inquiétantes du point de vue de la sécurité de l’app.
    [1]: https://en.wikipedia.org/wiki/TeleMessage
    [2]: https://en.wikipedia.org/wiki/Smarsh

    • Smarsh semble être une entreprise assez importante dans le domaine de la conformité réglementaire. Ce n’est pas n’importe quelle boîte. Cela dit, l’absurdité d’utiliser une appli clonant Signal qui neutralise précisément l’objectif de Signal reste entière.
    • Le chiffrement de bout en bout ne signifie pas ce que vous pensez. Plus précisément, cela n’a rien à voir avec ce que le destinataire prévu, ou son logiciel, fait du message.
    • Quand je travaillais en entreprise, j’avais compris que même si l’employeur fournit un logiciel GPL modifié, ce n’est pas considéré comme une distribution au sens où la GPL s’applique. Donc la redistribution ultérieure n’est pas libre non plus.
      Au moins pour la GPLv2, on expliquait souvent que les modifications « privées » restent privées et que les employés ne comptent pas comme une distribution externe, ce qui est plutôt favorable aux entreprises. Je connais moins l’AGPL.
    • Ce n’est pas illégal tant que les clients peuvent le redistribuer. D’autant plus si les clients n’ont absolument aucune intention de divulguer le code source ; le vrai point clé est de savoir si quelqu’un qui n’utilise pas ce client s’est déjà connecté à un serveur relais AGPL.
      J’ai travaillé autrefois dans une entreprise qui vendait des solutions logicielles sur mesure utilisant des logiciels GPL à des clients liés à l’armée, probablement au DOD. Pendant plus de dix ans, personne n’a demandé le code, jusqu’à ce que quelqu’un le fasse il y a quelques années. Il voulait sans doute l’évaluer, mais comme le produit servait de cœur à plusieurs activités, le forker aurait demandé pas mal d’efforts. Il y avait vraiment beaucoup de pièces mobiles.
      Tant que quelqu’un n’a pas contacté un serveur TM SGNL puis demandé les sources en se les voyant refuser, ce n’est pas illégal.
    • « Si l’archive est considérée comme une extrémité et que la connexion est sécurisée » : absolument pas. TeleMessage a pas mal de clients, et la plupart utilisent Global Relay comme backend.
      Ce qui est vraiment un peu effrayant, c’est que Global Relay ingère tout via SMTP. Je n’ai pas vérifié s’ils ont configuré DNSSEC ou MTA-STS, mais vu le mode de fonctionnement de Global Relay, je doute qu’ils l’aient fait. Avec un proxy bien placé ou une pollution DNS, il me semble possible d’aspirer une bonne partie des e-mails sensibles envoyés à Global Relay.
  • L’app ressemble à ceci :
    https://www.telemessage.com/how-to-install-and-register-sign...

    • Bon sang, ça s’installe via une distribution App Center.
  • Je me demande vraiment ce que signifie le message de JD disant qu’il a « reçu confirmation de l’autre personne que c’était désactivé ».

  • Attendez, ils utilisent donc une appli clonant Signal exploitée par des officiers du renseignement israélien ?
    Cet aspect ne semble pas encore avoir été vraiment mis en lumière. Si l’on cherche l’adresse de l’entreprise sur Google Maps, on tombe en fait sur une société appelée « Cyberint », ce qui ne présage rien de bon.
    https://maps.app.goo.gl/L7vVHw5x4VdgS8859?g_st=com.google.ma...
    Pire encore, la page de présentation de l’équipe sur le site de l’entreprise est remplie de personnes qui semblent être d’« anciens » officiers du renseignement israélien, y compris le CEO.
    https://www.telemessage.com/team/
    Cela paraît bien plus important que ce qui est actuellement connu. Plusieurs ordres de grandeur au-dessus du Signalgate initial. L’implication ici, c’est que des officiers du renseignement israélien ont peut-être eu l’un des meilleurs accès au monde : un flux en temps réel de toutes les conversations auxquelles participait le conseiller à la sécurité nationale des États-Unis.