L’administration Trump 2 n’en finit pas de se prendre les pieds dans le tapis autour des messageries chiffrées.
Après l’ajout par erreur d’un journaliste à une boucle confidentielle Signal de hauts responsables de l’administration, en mars dernier, l’ancien conseiller à la sécurité nationale Mike Waltz est une nouvelle fois au centre de la polémique après ses choix peu judicieux en matière de protection des messages échangés sur des smartphones.
Début mai, des photos montraient Mike Waltz en effet en train de consulter des messages sur son smartphone. Une mention, « TM SGNIL », trahissait le nom de l’application. Il s’agissait de TeleMessage, un clone de Signal permettant de conserver et d’archiver les messages, une obligation aux États-Unis pour une partie de la correspondance de l’administration.
Failles de sécurité
Un choix en réalité désastreux. Comme l’avait signalé 404 Media, l’application pouvait en effet être piratée. Peu connue avant cette histoire, elle a attiré l’attention de hackers qui se sont fait un malin plaisir d’y trouver des failles.
Le service piraté début mai ayant été suspendu, l’un des journalistes à l’origine du dévoilement de cette compromission vient de donner des détails supplémentaires dans Wired. Tout d’abord, le hacker ayant échangé avec les journalistes a expliqué avoir identifié une première faille béante.
Une page d’administration du site de l’application exposait des mots de passe hachés avec un algorithme dépassé, le MD5. Le hacker a ensuite identifié une URL vulnérable lui permettant d’obtenir un fichier d’environ 150 méga-octets.
Cet instantané de la mémoire du serveur contenait notamment des identifiants et des mots de passe associés. Et même des échanges en clair, le tout accessible seulement au bout de 15 à 20 minutes de recherches dans les serveurs de l’application.
La pire option possible
Bref, TeleMessage a des airs de véritable passoire. « Les agences gouvernementales qui ont adopté TeleMessage ont choisi la pire option possible », s’insurgeait un sénateur démocrate américain, Ron Wyden.
« Les hauts fonctionnaires se sont vus proposer une copie de Signal de mauvaise qualité, qui présente de graves menaces pour la sécurité et le contre-espionnage », s’alarmait-il dans ce courrier daté du 6 mai 2025. Une menace pas « théorique », poursuivait-il.
La preuve en effet avec la publication de cette archive de 410 giga-octets par les hacktivistes de DDoSecrets (Distributed Denial of Secrets) ce 19 mai. Smarsh, l’entreprise américaine qui avait racheté TeleMessage en février 2024, n’a pas officiellement réagi après cette accumulation de mauvaises nouvelles.