- L’ancien conseiller à la sécurité nationale des États-Unis Mike Waltz a été photographié en train d’utiliser, sur l’écran de son téléphone pendant une réunion gouvernementale, une application Signal non officielle
- L’application en question serait TM SGNL de la société TeleMessage, une application clone intégrant une fonction d’archivage des messages Signal
- Cette application est destinée à la conformité aux obligations d’archivage en entreprise et ne conserve pas le chiffrement de bout en bout de Signal
- Waltz avait déjà invité par erreur un journaliste dans un groupe de discussion Signal, provoquant une fuite d’informations militaires sensibles
- Le gouvernement américain avait déjà conclu des contrats pour des messageries avec fonctions d’archivage, notamment avec TeleMessage et Wickr
Aperçu de l’incident
- Mike Waltz a été photographié par Reuters en train d’utiliser son téléphone lors d’une réunion du cabinet présidée par le président Trump le 1er mai 2025
- En bas de l’écran visible sur la photo, on distingue la mention « TM SGNL PIN », un message qui n’apparaît pas dans l’application officielle Signal
- Il s’agirait d’une application clone de Signal développée par TeleMessage, conçue pour l’archivage sécurisé des messages
TeleMessage et TM SGNL
- TeleMessage clone des applications de messagerie populaires (Signal, WhatsApp, etc.) et y ajoute une fonction d’archivage de tous les messages
- TM SGNL reprend l’interface de Signal tout en enregistrant tous les messages entrants et sortants
- Dans sa vidéo officielle, l’entreprise explique que l’application peut être utilisée dans un environnement BYOD (usage d’appareils personnels), et dans la démonstration réelle les archives des messages sont envoyées vers Gmail
- Cette approche peut neutraliser le chiffrement de bout en bout de Signal, ce qui crée des failles de sécurité
Inquiétudes côté gouvernement et sécurité
- Pour les hauts responsables publics, il existe un dilemme entre l’usage d’applications avec suppression des messages et l’obligation légale de conservation
- TeleMessage se présente comme une tentative de réponse à ce problème, en mettant en avant la « conformité aux règles de conservation des archives », et a signé plusieurs contrats avec le gouvernement américain
- Par exemple, en décembre 2024, un contrat d’achat de licences d’archivage pour SMS, WhatsApp et Signal (d’une valeur d’environ 90 000 dollars) a été rendu public
- Mais la démonstration d’archivage via un compte Gmail ou l’intégration avec des plateformes externes augmente le risque de fuite d’informations sensibles
Récapitulatif des incidents liés à Waltz
- Waltz a invité par erreur le rédacteur en chef de The Atlantic dans un groupe Signal, déclenchant une polémique autour de la fuite de plans militaires concernant les rebelles houthis au Yémen
- Ensuite, dans un autre groupe, le secrétaire à la Défense Pete Hesgeth aurait partagé des informations sensibles avec sa famille, selon un article du NYT
- À la suite de ces incidents, Waltz a quitté son poste de conseiller à la sécurité nationale pour devenir candidat au poste d’ambassadeur à l’ONU
Précédents et enseignements
- En 2021, le service américain des douanes et de la protection des frontières (CBP) a signé un contrat de 700 000 dollars avec Wickr pour déployer une messagerie chiffrée permettant l’archivage
- Wickr propose sa propre fonction d’archivage pour les entreprises, avec une approche différente des applications tierces comme TeleMessage
- Cette affaire illustre la difficulté de trouver un équilibre entre l’obligation de conservation des communications sensibles au sein de l’État et les risques de sécurité
Aucun commentaire pour le moment.