La CISA ajoute la vulnérabilité TeleMessage à la liste KEV suite à une violation
La CISA ajoute la faille TeleMessage à sa liste KEV et exhorte les agences à agir dans les trois semaines suivant la divulgation de conversations non chiffrées. L'application israélienne a été utilisée par des responsables de Trump !
Une faille grave dans TM SGNL, une application de messagerie de l'entreprise américano-israélienne TeleMessage utilisée par d'anciens responsables de l'administration Trump, figure désormais sur la liste des vulnérabilités connues exploitées (KEV) de la CISA. Cette décision fait suite à des signalements d'une violation ayant exposé des communications sensibles et des données back-end.
L'Agence de cybersécurité et de sécurité des infrastructures ( CISA ) a ajouté cette semaine la vulnérabilité CVE-2025-47729 à son catalogue KEV. Cette liste confirme que la vulnérabilité a été exploitée et fixe un délai de trois semaines aux agences fédérales pour résoudre le problème.
Le 5 mai, Hackread.com a signalé que TeleMessage avait interrompu les opérations de TM SGNL après que des attaquants eurent accédé aux systèmes back-end et aux données des messages des utilisateurs. Cette faille a jeté le doute sur les principales affirmations de sécurité de la plateforme.
Le chercheur en sécurité Micah Lee a analysé le code source de l'application et a découvert une faille importante dans son modèle de chiffrement. Alors que TeleMessage affirmait que TM SGNL utilisait un chiffrement de bout en bout , les conclusions de Lee suggèrent le contraire. La communication entre l'application et son point de stockage final manquait de chiffrement complet, ce qui permettait aux attaquants d'intercepter les journaux de discussion en clair.
Cette découverte a soulevé de sérieuses inquiétudes en matière de sécurité et de confidentialité, compte tenu de l'utilisation passée de l'application par des personnalités de haut niveau, notamment l'ancien conseiller à la sécurité nationale Mike Waltz.
La décision de la CISA d'ajouter la faille à sa liste KEV envoie un message clair aux agences gouvernementales : le logiciel n'est pas sûr. Elle les met sous pression pour qu'elles le corrigent ou l'abandonnent rapidement.
Thomas Richards , directeur de la pratique de sécurité des infrastructures chez Black Duck, a déclaré que la décision découlait probablement de l'utilisation du logiciel au sein du gouvernement :
Cette vulnérabilité a probablement été ajoutée à la liste KEV en raison de son utilisation. Des échanges gouvernementaux sensibles étant en jeu, la faille présente un risque supplémentaire. La décision de la CISA vise à s'assurer que les agences comprennent que ce logiciel n'est pas fiable.
Casey Ellis , fondateur de Bugcrowd, a ajouté que l'inclusion confirme la gravité :
La CISA veille à ce que les agences fédérales aient bien compris le message. Le fait que les journaux n'aient pas été correctement chiffrés modifie l'équation des risques. Et même si le score CVSS de 1,9 peut paraître faible, il reflète néanmoins le danger de compromettre l'appareil stockant ces journaux.
Les agences fédérales sont désormais tenues d'agir dans un délai de trois semaines. Il est également conseillé aux organisations extérieures au gouvernement de consulter le catalogue KEV et d'envisager de prioriser les correctifs ou les solutions alternatives.
La violation et la liste KEV qui a suivi ont poussé TeleMessage dans une discussion plus large sur la transparence, les normes de cryptage et l'infrastructure de sécurité des plateformes utilisées dans la communication politique et gouvernementale.
Pour plus d'informations, l'entrée CVE est disponible via NVD et le catalogue KEV est accessible sur le site Web de la CISA .
HackRead
