Mike Waltz révèle par erreur l’application utilisée par le gouvernement pour archiver les messages Signal
(404media.co)- Une photo du téléphone de Mike Waltz, membre de l’administration Trump, montre ce qui semble être une version non officielle de Signal destinée à l’archivage des messages
- Waltz était conseiller à la sécurité nationale des États-Unis jusqu’à jeudi, ce qui relance les questions sur le niveau de classification des informations que les responsables publics discutent sur Signal
- Une photo de Reuters montre Waltz consultant son téléphone pendant une réunion du cabinet à la Maison-Blanche présidée par Donald Trump
- À l’écran, on peut voir des messages de hauts responsables gouvernementaux comme JD Vance, Tulsi Gabbard et Marco Rubio
- En bas de l’écran apparaît un texte ressemblant au message de vérification du PIN de Signal, attirant aussi l’attention sur la protection contre le piratage de compte et sur la manière dont les messages sont archivés
L’usage d’une version non officielle de Signal révélé par une photo
- Une photo du téléphone de Mike Waltz a capté l’utilisation d’une application qui semble être une version non officielle de Signal
- Cette version serait conçue pour archiver les messages
- Waltz était jusqu’à jeudi National Security Advisor des États-Unis
Le contexte de la photo de Reuters
- La photo publiée par Reuters montre Waltz en train de consulter son téléphone pendant une réunion du cabinet organisée par Donald Trump à la Maison-Blanche
- Des messages de plusieurs hauts responsables gouvernementaux sont visibles à l’écran
- JD Vance
- Tulsi Gabbard
- Marco Rubio
Le message PIN de Signal et le contexte de sécurité
- En bas de l’écran du téléphone de Waltz, on voit un texte qui ressemble au message de vérification du PIN habituel de Signal
- Le message de vérification du PIN de Signal peut s’afficher pour inciter l’utilisateur à se souvenir de son PIN
- Le PIN peut servir à empêcher qu’une autre personne ne prenne le contrôle du compte
Les questions pratiques qui restent
- Si cette version non officielle de Signal est utilisée pour archiver les messages, la question centrale devient le niveau de classification des informations que les responsables publics y discutent
- La manière dont les données archivées sont sécurisées reste également un point à éclaircir
1 commentaires
Avis sur Hacker News
https://archive.ph/oXYXe
Des agences gouvernementales ont déjà payé par le passé pour des versions de messageries chiffrées avec fonction d’archivage. En 2021, le CBP a versé 700 000 dollars à Wickr.
Ce genre d’usage semble parfaitement correspondre à quelque chose que Signal pourrait prendre en charge. De grandes entreprises ou des agences gouvernementales pourraient payer directement les développeurs de l’app pour un fork personnalisé ; je ne vois pas pourquoi TeleMessage encaisse l’argent. La Signal Foundation ne facilite-t-elle pas la mise en œuvre de forks payants ?
« TM SGNL » semble désigner le logiciel d’une société appelée TeleMessage. Cette entreprise crée des clones d’apps de messagerie populaires et ajoute à chacune une fonction d’archivage.
Je ne vois pas l’intérêt d’utiliser Signal si c’est pour laisser une entreprise étrangère intercepter les communications. Ils voulaient sans doute l’UX d’un produit commercial plutôt que l’expérience utilisateur lourde d’une app approuvée par le gouvernement, mais quelqu’un sait quelles étaient les alternatives ?
Signal est approuvé pour des usages gouvernementaux, mais pas pour des informations non publiques du ministère de la Défense. Signal peut servir pour dire « viens dans le SCIF, on discutera des détails là-bas », mais le contenu détaillé doit être discuté dans un environnement sécurisé.
La CISA a recommandé à la place d’utiliser des services chiffrés de bout en bout, en mentionnant explicitement Signal.
https://investigations.cooley.com/2025/01/15/federal-law-enf...
Signal reste au bout du compte une simple app sur un téléphone. Si on veut l’utiliser pour des communications secrètes, il faut réduire au minimum — voire supprimer — les autres logiciels sur ce téléphone, et le protéger par tous les moyens possibles : mot de passe, chiffrement, etc.
Je me demande s’il est vraiment nécessaire d’accepter des failles de sécurité juste pour archiver. De toute façon, il suffirait de demander à Israël et à Pegasus pour obtenir une copie archivée.
Pour donner quelques détails, TeleMessage était — ou est peut-être encore — une société israélienne [1], mais elle a été rachetée l’an dernier par la société américaine Smarsh [2], et Smarsh elle-même est une filiale de la société américaine K1 Investment Management. Je ne sais pas si l’entreprise a été déplacée.
Ce n’est peut-être pas directement lié, mais les conditions d’utilisation semblent aussi contenir une clause distincte sur la messagerie en Chine, avec apparemment des divulgations au gouvernement chinois. Le fonctionnement de l’app n’est pas clair. Elle est présentée comme un fork du client Signal et semble téléverser tout le contenu vers un serveur distant ; dans ce cas, évidemment, le chiffrement de bout en bout est rompu, sauf à considérer l’archive comme une extrémité réceptrice et à estimer que cette connexion est sécurisée. L’interface semble aussi être promue comme identique à celle de Signal.
Or les clients Signal iOS et Android sont tous deux sous AGPLv3. Je n’ai trouvé aucun signe indiquant que le client TeleMessage ne serait pas un logiciel propriétaire. Dans ce cas, est-ce qu’ils fournissent le logiciel et le code source uniquement à leurs clients payants au titre de l’AGPLv3, avec la possibilité pour ces clients de les redistribuer ? Ont-ils entièrement réimplémenté le client ? Ou bien est-ce un fork propriétaire illégal ? La première hypothèse paraît peu probable, et les deux dernières sont assez inquiétantes du point de vue de la sécurité de l’app.
[1]: https://en.wikipedia.org/wiki/TeleMessage
[2]: https://en.wikipedia.org/wiki/Smarsh
Au moins pour la GPLv2, on expliquait souvent que les modifications « privées » restent privées et que les employés ne comptent pas comme une distribution externe, ce qui est plutôt favorable aux entreprises. Je connais moins l’AGPL.
J’ai travaillé autrefois dans une entreprise qui vendait des solutions logicielles sur mesure utilisant des logiciels GPL à des clients liés à l’armée, probablement au DOD. Pendant plus de dix ans, personne n’a demandé le code, jusqu’à ce que quelqu’un le fasse il y a quelques années. Il voulait sans doute l’évaluer, mais comme le produit servait de cœur à plusieurs activités, le forker aurait demandé pas mal d’efforts. Il y avait vraiment beaucoup de pièces mobiles.
Tant que quelqu’un n’a pas contacté un serveur TM SGNL puis demandé les sources en se les voyant refuser, ce n’est pas illégal.
Ce qui est vraiment un peu effrayant, c’est que Global Relay ingère tout via SMTP. Je n’ai pas vérifié s’ils ont configuré DNSSEC ou MTA-STS, mais vu le mode de fonctionnement de Global Relay, je doute qu’ils l’aient fait. Avec un proxy bien placé ou une pollution DNS, il me semble possible d’aspirer une bonne partie des e-mails sensibles envoyés à Global Relay.
L’app ressemble à ceci :
https://www.telemessage.com/how-to-install-and-register-sign...
Je me demande vraiment ce que signifie le message de JD disant qu’il a « reçu confirmation de l’autre personne que c’était désactivé ».
Attendez, ils utilisent donc une appli clonant Signal exploitée par des officiers du renseignement israélien ?
Cet aspect ne semble pas encore avoir été vraiment mis en lumière. Si l’on cherche l’adresse de l’entreprise sur Google Maps, on tombe en fait sur une société appelée « Cyberint », ce qui ne présage rien de bon.
https://maps.app.goo.gl/L7vVHw5x4VdgS8859?g_st=com.google.ma...
Pire encore, la page de présentation de l’équipe sur le site de l’entreprise est remplie de personnes qui semblent être d’« anciens » officiers du renseignement israélien, y compris le CEO.
https://www.telemessage.com/team/
Cela paraît bien plus important que ce qui est actuellement connu. Plusieurs ordres de grandeur au-dessus du Signalgate initial. L’implication ici, c’est que des officiers du renseignement israélien ont peut-être eu l’un des meilleurs accès au monde : un flux en temps réel de toutes les conversations auxquelles participait le conseiller à la sécurité nationale des États-Unis.