Le clone de Signal utilisé par l'équipe Trump a été piraté. Cette version obscure de Signal propose une fonction d'archivage vulnérable qui a permis un pirate de dérober les données de certains clients

Le clone de Signal utilisé par l'équipe Trump a été piraté. Cette version obscure de Signal propose une fonction d'archivage vulnérable qui a permis un pirate de dérober les données de certains clients

Plusieurs responsables de la Maison Blanche communiquent en utilisant une version obscure et moins sécurisée de l'application de messagerie chiffrée Signal. La version modifiée de Signal, connue sous le nom de TeleMessage ou TM SGNL, permet l'archivage des communications, ce qui peut introduire des vulnérabilités si ces fonctionnalités sont mal implémentées. Un rapport récent indique que TM SGNL a été piraté et que l'auteur a dérobé des informations telles que le contenu des messages directs et chats de groupe archivés. Le piratage menace la sécurité nationale des États-Unis, bien que l'auteur n'ait pas obtenu les messages des membres du cabinet.

Mike Waltz, conseiller à la sécurité nationale des États-Unis, utilisait TeleMessage (ou TM SGNL), une version obscure et non officielle de Signal. Contrairement à l'application Signal officielle, qui est réputée pour son chiffrement de bout en bout, TeleMessage permet l'archivage des communications. Le jeudi 1er mai 2025, Reuters a publié une photo du conseiller Mike Waltz qui consultait son téléphone portable lors d'une réunion du cabinet de Donald Trump.

L'écran du téléphone semble afficher des messages de plusieurs hauts fonctionnaires, dont le vice-président JD Vance, le secrétaire d'État Marco Rubio et la directrice du renseignement national Tulsi Gabbard. La photo a provoqué un nouveau tollé et a poussé le président Donald Trump à limoger Mike Waltz.

TeleMessage crée des clones des applications de messagerie populaires (comme WhatsApp, Signal, Telegram et WeChat), mais ajoute une capacité d'archivage à chacune d'entre elles. La société fournit des services au gouvernement américain. Une page du site Web de TeleMessage indique aux clients comment installer l'application. Sur la page, il est décrit comment l'outil peut capturer les messages Signal sur iOS, Android et sur les ordinateurs de bureau.

Mais cette fonctionnalité pose des problèmes de sécurité et un acteur de la menace a su exploiter ces failles. Selon un rapport récent de 404 Media, un pirate informatique s'est introduit dans TeleMessage et a volé les données de ses clients. Les données volées par le pirate contiennent le contenu de certains messages directs et conversations de groupe envoyés à l'aide de son clone de Signal et des versions modifiées de WhatsApp, Telegram et WeChat.

Piratage des messages archivés via les clones développés par TeleMessage

Le piratage montre qu'une application rassemblant les messages des plus hauts fonctionnaires du gouvernement comportait de sérieuses vulnérabilités qui ont permis à un acteur de la menace d'accéder de manière triviale aux messages archivés de certaines personnes qui ont utilisé le même outil. Selon le rapport de4040 Media, le pirate n'a pas obtenu les messages des membres du cabinet du président Donald Trump, de Mike Waltz et de ses interlocuteurs.


Mais le piratage montre que les journaux de discussion archivés ne sont pas chiffrés de bout en bout entre la version modifiée de l'application de messagerie et la destination des archives contrôlée par le client de TeleMessage. Selon des captures d'écran divulguées, des données relatives aux douanes et à la protection des frontières (CBP), au géant de la cryptomonnaie Coinbase et à d'autres institutions financières sont incluses dans le matériel piraté.

Une capture d'écran de l'accès du pirate à un panneau TeleMessage contient les noms, les numéros de téléphone et les adresses électroniques des fonctionnaires des douanes et à la protection des frontières. La capture d'écran indique « select 0 of 747 », ce qui signifie qu'il y a peut-être autant de fonctionnaires de l'agence dans les données piratées. Une capture d'écran similaire montre les coordonnées d'employés actuels et anciens de Coinbase.

Le piratage est un signal d'alarme pour les clients de TeleMessage, surtout pour le gouvernement américain. Le pirate n'a pas accédé à tous les messages stockés ou collectés par TeleMessage, mais il aurait probablement pu accéder à davantage de données s'il l'avait décidé, ce qui souligne le risque extrême que représente l'ajout d'une fonction d'archivage à des applications de messagerie chiffrées de bout en bout habituellement sécurisées, comme Signal.

« Je dirais que l'ensemble du processus a pris environ 15 à 20 minutes. Cela n'a pas demandé beaucoup d'efforts », a déclaré le pirate informatique en décrivant la manière dont il s'est introduit dans les systèmes de TeleMessage. La vraie identité de l'acteur de la menace reste pour l'instant inconnue.

Comment le pirate informatique a accédé aux archives de TeleMessage

Les données volées comprennent le contenu apparent des messages, les noms et les coordonnées des fonctionnaires, les noms d'utilisateur et les mots de passe du panneau d'administration de TeleMessage, ainsi que des indications sur les agences et les entreprises susceptibles d'être clientes de TeleMessage. Selon le rapport, les données divulguées ne sont pas représentatives de l'ensemble des clients de TeleMessage ou des types de messages qu'il couvre.


Il s'agit plutôt d'instantanés de données passant par les serveurs de TeleMessage à un moment donné. Le pirate a pu se connecter au panneau dorsal de TeleMessage en utilisant les noms d'utilisateur et les mots de passe trouvés dans ces instantanés. Un message piraté a été envoyé à un groupe de discussion associé à la société de cryptomonnaie Galaxy Digital. Il disait : « Il faut 7 démocrates pour arriver à 60... ce serait très proche au groupe GD Macro ».

Un autre message disait : « je viens de parler à un membre du personnel du Sénat ; deux cosponsors (Alsobrooks et Gillibrand) n'ont pas signé la lettre d'opposition et ils pensent donc que le projet de loi a encore de bonnes chances de passer au Sénat avec 5 autres D qui le soutiennent ». Le pirate a volé ce qui semble être une discussion active et opportune sur les efforts visant à faire adopter un projet de loi important et controversé sur les cryptomonnaies.

Le 3 mai 2025, les législateurs démocrates ont publié une lettre expliquant qu'ils s'opposeraient à ce projet. Les cosponsors du projet de loi, Angela Alsobrooks, sénatrice du Maryland, et Kirsten Gillibrand, sénatrice de New York, n'ont pas signé cette lettre. Une autre capture d'écran mentionne la Banque Scotia.

Les institutions financières pourraient se tourner vers un outil tel que TeleMessage pour se conformer aux réglementations relatives à la conservation des copies des communications professionnelles. Les gouvernements sont légalement tenus de conserver les messages de la même manière. Une autre capture d'écran indique que l'Intelligence Branch de la police métropolitaine de Washington D.C. pourrait utiliser l'application de TeleMessage.

Le pirate a pu accéder aux données que l'application capturait par intermittence à des fins de débogage, et n'aurait pas été en mesure de capturer chaque message ou élément de données qui passe par le service de TeleMessage. Cependant, l'échantillon de données que l'acteur de la menace a réussi à capturer contenait des fragments de données en direct, non chiffrées, passant par le serveur de production de TeleMessage avant d'être archivées.

Des pratiques qui menacent la sécurité des utilisateurs de TeleMessage

TeleMessage offre aux gouvernements et aux entreprises un moyen d'archiver les messages provenant d'applications de messagerie chiffrées de bout en bout comme Signal et WhatsApp. Pour ce faire, TeleMessage crée des versions modifiées de ces applications qui envoient des copies des messages à un serveur distant. TeleMessage affirme que son application conserve « intacts la sécurité et le chiffrement de bout en bout de Signal lors des communications ».

« La seule différence est que la version TeleMessage capture tous les messages Signal entrants et sortants à des fins d'archivage », indique l'entreprise dans une vidéo promotionnelle. Toutefois, il n'est pas vrai qu'une solution d'archivage préserve correctement la sécurité offerte par une application de messagerie chiffrée de bout en bout telle que Signal. Normalement, seuls l'expéditeur et le destinataire d'un message Signal sont en mesure d'en lire le contenu.

TeleMessage ajoute un tiers à cette conversation en envoyant des copies de ces messages à un autre endroit pour qu'ils soient stockés. Si elles ne sont pas stockées en toute sécurité, ces copies pourraient à leur tour être surveillées ou tomber entre de mauvaises mains. Ce risque théorique est désormais bien réel.

La secrétaire de presse adjointe de la Maison Blanche, Anna Kelly, a déclaré dans un courriel à NBC News : « comme nous l'avons dit à maintes reprises, Signal est une application approuvée pour l'usage gouvernemental et elle est chargée sur les téléphones du gouvernement. Toutefois, un porte-parole de Signal a déclaré par courriel à 404 Media : « nous ne pouvons pas garantir les propriétés de confidentialité ou de sécurité des versions non officielles de Signal ».

De son côté, le pirate a déclaré avoir ciblé TeleMessage parce qu'il était simplement curieux de savoir à quel point l'application était sécurisée. Il n'a pas voulu divulguer le problème directement à l'entreprise, car il pensait que « celle-ci pourrait faire de son mieux pour étouffer l'affaire ». « Si j'ai pu trouver cela en moins de 30 minutes, n'importe qui d'autre peut le faire aussi. Et qui sait depuis combien de temps il est vulnérable ? », a déclaré le pirate.

Conclusion

Le serveur compromis par le pirate est hébergé sur l'infrastructure cloud d'Amazon, AWS, en Virginie du Nord. En examinant le code source de l'application Signal modifiée de TeleMessage pour Android, 404 Media a confirmé que l'application envoie des données de message à ce point de terminaison. Le rapport n'explique pas en détail comment le pirate a réussi à obtenir ces données, au cas où d'autres personnes essaieraient d'exploiter la même vulnérabilité.

Selon les registres des marchés publics, TeleMessage a conclu des contrats avec plusieurs agences gouvernementales américaines, dont le département d'État et les Centers for Disease Control and Prevention (centres de contrôle et de prévention des maladies). Le piratage a révélé certains de ses clients privés.

TeleMessage a récemment fait l'objet d'une mauvaise presse après qu'une photo a révélé que Mike Waltz utilisait l'outil lors d'une réunion au cabinet du président Donald Trump. La nouvelle a déclenché un tollé et Mike Waltz a été démis de ses fonctions de conseiller à la sécurité nationale. Mike Waltz a été à l'origine du Signalgate, un incident qui a révélé les écarts de conduite des fonctionnaires de l'administration Trump en matière de communication officielle.

Après la vague de couverture médiatique concernant l'utilisation de l'outil par l'ancien conseiller Mike Waltz, TeleMessage a effacé son site Web. Auparavant, il contenait des informations sur les services qu'il propose, sur les fonctionnalités de ses applications, etc. Ni les services des douanes et de la protection des frontières, ni Coinbase, ni la Banque Scotia, ni Galaxy Digital, ni la police métropolitaine de Washington D.C. n'ont répondu aux demandes de commentaire.

Source : analyse du code source de TeleMessage

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous de l'impact de la fonction d'archivage de TeleMessage sur la sécurité de l'application ?
Que pensez-vous de la gestion des communications sensibles au sein de l'administration Trump ?
TeleMessage affirme que son application conserve le chiffrement et la sécurité de Signal. Qu'en pensez-vous ?

Voir aussi

L'équipe Trump cherche-t-elle à échapper à la transparence gouvernementale ? Mike Waltz révèle accidentellement une application obscure utilisée par le gouvernement pour archiver les messages de Signal

Signal au Pentagone : le secrétaire à la Défense crée une faille de cybersécurité majeure par son usage non conforme d'une application grand public dans une zone où les téléphones personnels sont interdits

Le « Signalgate » s'intensifie avec la publication par un journaliste d'une conversation secrète sur les bombardements des Houthis, entrainant le plus grand nombre de téléchargements de Signal aux États-Unis