Mike Waltz est devenu encore pire dans l'utilisation de Signal
Jeudi, Reuters a publié une photo montrant Mike Waltz, alors conseiller à la sécurité nationale des États-Unis, consultant son téléphone lors d'une réunion du cabinet du président Trump à la Maison Blanche. En agrandissant la partie de l'image qui capture l'écran de Waltz, on le voit utiliser l'application de messagerie chiffrée de bout en bout Signal. Mais en y regardant de plus près, une notification à l'écran désigne l'application comme « TM SGNL ». Lors d'une réunion du cabinet de la Maison Blanche mercredi, Waltz aurait donc utilisé une application israélienne appelée TeleMessage Signal pour communiquer avec des personnalités qui semblent être de hauts responsables américains, dont J.D. Vance, Marco Rubio et Tulsi Gabbard.
Après que des membres influents du cabinet de Trump ont utilisé des messages Signal éphémères pour coordonner les frappes militaires de mars au Yémen – et inclus par erreur le rédacteur en chef de The Atlantic dans le groupe de discussion – le scandale « SignalGate » a mis en lumière des violations du protocole traditionnel de « sécurité opérationnelle » du gouvernement , ainsi que des problèmes de conformité avec les lois fédérales sur la conservation des documents. Au cœur de la débâcle se trouvait Waltz, limogé jeudi par Trump de son poste de conseiller à la sécurité nationale des États-Unis. Waltz a créé le groupe de discussion « Houthi PC Small Group » et a été le membre qui a intégré le rédacteur en chef de The Atlantic, Jeffrey Goldberg. « J'en assume l'entière responsabilité. J'ai créé ce groupe », a déclaré Waltz à Fox News fin mars. « Nous avons les meilleurs experts techniques qui étudient les causes de cette situation », a-t-il ajouté à l'époque.
SignalGate n'avait rien à voir avec Signal. L'application fonctionnait normalement et était simplement utilisée à un moment inapproprié pour une discussion extrêmement sensible qui aurait dû être menée sur des appareils et plateformes logicielles fédéraux spécialement conçus et renforcés. Si vous envisagez de contourner les protocoles, Signal est (relativement parlant) un bon outil, car l'application est conçue pour que seuls les expéditeurs et les destinataires des messages d'une discussion de groupe puissent les lire. De plus, elle est conçue pour collecter le moins d'informations possible sur ses utilisateurs et leurs associés. Cela signifie que si des représentants du gouvernement américain discutaient sur l'application, des espions ou des pirates informatiques ne pourraient accéder à leurs communications qu'en compromettant directement les appareils des participants – un défi potentiellement surmontable, mais qui limite au moins les points d'accès possibles. Cependant, l'utilisation d'une application comme TeleMessage Signal, vraisemblablement pour se conformer aux exigences de conservation des données, ouvre de nombreuses autres voies d'accès aux messages.
« Je ne sais même pas par où commencer », déclare Jake Williams, ancien hacker de la NSA et vice-président de la recherche et du développement chez Hunter Strategy. « C'est hallucinant que le gouvernement fédéral utilise une technologie israélienne pour acheminer des données extrêmement sensibles à des fins d'archivage. On sait pertinemment que quelqu'un s'empare d'une copie de ces données. Même si TeleMessage refuse de les divulguer, l'entreprise est devenue l'une des principales cibles des États-nations. »
TeleMessage a été fondé en Israël en 1999 par d'anciens techniciens des Forces de défense israéliennes et était géré depuis l'étranger jusqu'à son rachat l'année dernière par l'entreprise américaine d'archivage de communications numériques Smarsh. Le service crée des copies d'applications de communication, équipées d'un outil d'archivage mobile pour enregistrer et stocker les messages envoyés via l'application.
« Capturez, archivez et surveillez les communications mobiles : SMS, MMS, appels vocaux, WhatsApp, WeChat, Telegram et Signal », indique TeleMessage sur son site web. Concernant Signal, l'entreprise ajoute : « Enregistrez et capturez les appels, SMS, fichiers multimédias et fichiers Signal sur les téléphones BYOD fournis par l'entreprise et les téléphones des employés. » (BYOD signifie « apportez votre propre appareil »). Autrement dit, il existe des versions TeleMessage de Signal pour pratiquement tous les appareils grand public. L'entreprise affirme qu'avec TeleMessage Signal, les utilisateurs peuvent « conserver toutes les fonctionnalités de l'application Signal, ainsi que le chiffrement Signal », ajoutant que l'application offre un « chiffrement de bout en bout, du téléphone mobile jusqu'aux archives de l'entreprise ». Cependant, l'existence des « archives de l'entreprise » compromet la confidentialité et la sécurité du système de chiffrement de bout en bout.
Les applications TeleMessage ne sontpas approuvées par le programme fédéral de gestion des risques et des autorisations (FedRAMP) du gouvernement américain. TeleMessage et Smarsh n'ont pas immédiatement répondu aux demandes de commentaires concernant l'utilisation de leurs produits par le gouvernement fédéral américain et à quelles fins.
« Comme nous l'avons répété à maintes reprises, Signal est une application approuvée par le gouvernement et installée sur les téléphones gouvernementaux », a déclaré à WIRED Anna Kelly, attachée de presse de la Maison Blanche. Elle n'a pas répondu aux questions concernant l'approbation par la Maison Blanche de l'utilisation de TeleMessage Signal par les fonctionnaires fédéraux – une application différente de Signal – ou si d'autres fonctionnaires, outre Waltz, l'ont utilisée ou l'utilisent actuellement.
La Cybersecurity and Infrastructure Security Agency (CISA) n'élabore pas de politique concernant l'utilisation des technologies fédérales, mais publie des directives publiques . Interrogée sur l'utilisation apparente de TeleMessage Signal par Waltz, la CISA a simplement renvoyé WIRED à son guide des meilleures pratiques pour les communications mobiles. Ce document recommande spécifiquement : « Lors du choix d'une application de messagerie chiffrée de bout en bout, évaluez la mesure dans laquelle l'application et les services associés collectent et stockent des métadonnées. »
On ne sait pas exactement quand Waltz a commencé à utiliser TeleMessage Signal et s'il l'utilisait déjà pendant SignalGate ou s'il a commencé à l'utiliser après en réponse aux critiques selon lesquelles l'activation de la fonction de disparition des messages de Signal est en conflit avec les lois fédérales sur la conservation des données.
« Je suis convaincu que les responsables de la sécurité nationale américaine ont soumis ce logiciel à un processus complet de vérification des informations afin de garantir l'absence de fuite d'informations vers des pays étrangers », déclare Matt Green, cryptographe à Johns Hopkins. « Sinon, nous sommes fichus. »
wired
