Signal au Pentagone : le secrétaire à la Défense crée une faille de cybersécurité majeure par son usage non conforme d'une application grand public

Dans une zone où les téléphones personnels sont interdits

Pete Hegseth, le secrétaire à la Défense des États-Unis, a fait installer l’application de messagerie chiffrée Signal sur un ordinateur de son bureau au Pentagone afin de communiquer plus aisément dans une zone où le réseau mobile est défaillant et où les téléphones personnels sont interdits. Cette initiative, révélée récemment, soulève de vives critiques quant à la sécurité de l’information, au respect des politiques IT du Département de la Défense, à la gouvernance des communications classifiées et aux risques d’introduire une application grand public au cœur d’un environnement hautement sécurisé.

Contexte

Une bévue de communication a secoué le monde politique américain. Jeffrey Goldberg, rédacteur en chef du magazine The Atlantic, a été ajouté par erreur à un groupe de discussion sur l'application Signal, réunissant des figures de premier plan de l'administration Trump, notamment le vice-président JD Vance, le secrétaire à la Défense Pete Hegseth, le secrétaire d'État Marco Rubio, la directrice du renseignement national Tulsi Gabbard et le conseiller à la sécurité nationale Michael Waltz.

Au cours de cette conversation, des plans détaillés concernant des frappes aériennes imminentes contre les Houthis au Yémen ont été partagés, incluant des informations sur les cibles, les horaires de lancement et les armements prévus. Cette fuite d'informations sensibles a été rapidement médiatisée, suscitant des inquiétudes majeures quant à la sécurité nationale et à la gestion des communications confidentielles au sein du gouvernement américain.

Un contournement technologique en zone classifiée

Pete Hegseth a discrètement fait installer Signal sur un PC de bureau dans son bureau du Pentagone, effectuant en pratique un « clonage » de l’application depuis son téléphone personnel afin de pouvoir échanger des messages en temps réel depuis une zone classifiée où les smartphones sont proscrits. L’objectif avancé par ses équipes était de « contourner le manque de réseau cellulaire dans une grande partie du Pentagone » et de coordonner plus rapidement avec la Maison-Blanche et d’autres responsables via cette messagerie chiffrée. En d’autres termes, le secrétaire à la Défense a mis en place une solution de communication parallèle pour pallier les contraintes techniques et sécuritaires de son environnement de travail.

Cependant, dès sa découverte, ce dispositif a suscité l’inquiétude de juristes et d’observateurs. En effet, les lois fédérales sur l’archivage imposent de conserver les communications officielles, or rien ne garantit que les échanges via Signal aient été archivés conformément à ces exigences. Utiliser une application conçue pour la confidentialité personnelle dans le cadre de communications gouvernementales officielles pose donc un premier problème de traçabilité et de conformité réglementaire : si ces messages ne sont pas sauvegardés sur un système officiel, Hegseth pourrait être en infraction vis-à-vis du Federal Records Act.


Entorse aux politiques de sécurité du Pentagone

Au Pentagone, les règles internes interdisent la présence d’appareils électroniques personnels dans les bureaux sensibles, en particulier celui du secrétaire à la Défense, en raison des risques élevés d’écoute ou de piratage. D’ordinaire, tout visiteur ou employé doit déposer son téléphone dans un casier avant d’entrer dans ces zones. Pour parvenir à utiliser Signal malgré ces interdictions, Pete Hegseth a fait installer dans son bureau une ligne Internet dédiée non sécurisée, qualifiée de “dirty line” (littéralement une « ligne sale ») par les spécialistes. Cette ligne, connectée directement à l’Internet public, contourne les pare-feux et protocoles de sécurité du réseau du Pentagone. Habituellement, de telles connexions isolées ne sont accordées que de façon limitée, par exemple pour surveiller des informations en source ouverte qui seraient bloquées sur le réseau protégé du DoD.

En créant une passerelle échappant aux contrôles traditionnels, le secrétaire a ouvert une brèche dans le dispositif de sécurité informatique du Pentagone. Une “dirty line” expose en effet son utilisateur aux risques de piratage et de surveillance comme n’importe quel accès Internet public, loin des standards de cybersécurité en vigueur sur les réseaux gouvernementaux​. De plus, une telle connexion directe ne bénéficie pas des mécanismes de journalisation et d’archivage requis par les politiques fédérales​, autant de mesures qui existent justement pour assurer la visibilité et la traçabilité des échanges officiels. En somme, ce contournement technique, motivé par la commodité, revient à bypasser le “rempart” de sécurité du Pentagone. Il va à l’encontre des bonnes pratiques modernes comme le principe de Zero Trust, qui préconisent de ne jamais accorder de confiance implicite et de soumettre chaque accès à des contrôles stricts. Ici, c’est tout l’inverse : un canal non maîtrisé a été introduit au cœur d’un environnement hautement sensible.

Informations sensibles divulguées hors des canaux sécurisés

L’affaire ne se limite pas à une question d’infrastructure réseau : ce sont surtout les informations échangées sur Signal qui posent problème. Selon plusieurs révélations de presse, Pete Hegseth a utilisé Signal pour partager des détails opérationnels confidentiels sur une mission militaire en cours au Yémen. Parmi les données transmises figuraient le calendrier précis d’une frappe aérienne imminente, les types d’appareils et d’armements engagés, et surtout les créneaux horaires où les troupes américaines seraient exposées, des éléments qui seraient presque certainement considérés comme classifiés, estiment d’anciens responsables du Département de la Défense​.

Ces échanges ont eu lieu...