Un article publié par The Atlantic provoque l’indignation aux États-Unis. Il montre comment les plus hauts officiels américains ont utilisé l’application Signal pour discuter de plans top secrets, sans s’apercevoir qu’ils avaient ajouté un journaliste dans la boucle. Une faille de sécurité ? Plutôt un problème de comportement.

C’est une affaire d’ores et déjà décrite comme « l’une des failles de sécurité les plus retentissantes de l’histoire militaire américaine récente », et dont les répercussions n’en sont peut-être qu’au tout début. Un récit qui s’est répandu comme une traînée de poudre, le lundi 24 mars 2025, et dont la véracité a été admise dans la foulée par la Maison-Blanche elle-même.

Tout part d’un article explosif publié dans les colonnes de The Atlantic en début de semaine : « L’administration Trump m’a accidentellement envoyé ses plans de guerre par texto ». On y apprend qu’un journaliste américain, Jeffrey Goldberg, l’auteur du papier, a été ajouté par inadvertance dans un groupe de discussions avec certains des plus hauts officiels des États-Unis.

Parmi les membres, JD Vance (vice-président), Pete Hegseth (défense), Marco Rubio (affaires étrangères), Michael Waltz (conseiller à la sécurité nationale), Tulsi Gabbard (directrice du renseignement), John Ratcliffe (CIA), Susie Wiles (cheffe de cabinet), Steve Witkoff (envoyé spécial) et Stephen Miller (haut conseiller). Ils discutent d’opérations militaires.

JD Vance
JD Vance, le vice-président américain. // Source : Gage Skidmore

L’article, fouillé, est saisissant. Il montre au passage à quel point cette nouvelle administration est hostile à l’Europe, en voulant facturer au Vieux Continent les frappes américaines contre les houthis au Yémen, puisqu’ils constituent une menace à la liberté de navigation — et c’est un axe clé pour l’UE. Une hostilité qui confine presque à la haine, au point de faire de la lutte anti-terroriste un moyen d’extorsion contre les pays européens, et d’autres.

Il y a évidemment ce que dit l’article sur les relations transatlantiques, de plus en plus abimées. Mais il y a aussi, en filigrane, ce que révèle le papier sur le degré d’amateurisme de cette jeune équipe gouvernementale, pour en arriver à inclure par erreur un journaliste dans un groupe partageant des informations ultraconfidentielles, et impliquant des actions militaires top secrètes. Le pire, personne ne s’est jamais rendu compte de l’erreur. C’est le journaliste qui a quitté le groupe de lui-même, après les frappes.

Une boucle créée sur Signal, une application de messagerie instantanée sécurisée

Particularité de la boucle dans laquelle s’est retrouvé Jeffrey Goldberg : elle a été créée sur Signal. Il s’agit d’une application de messagerie instantanée dont le fonctionnement est semblable à WhatsApp. Sa force ? Sécuriser toutes les conversations avec du chiffrement de bout en bout par défaut (E2EE), via un protocole cryptographique open source.

À ce jour, le protocole Signal n’a pas été officiellement mis en défaut, ce qui fait de cette application une solution de choix pour garantir avec un très haut degré de certitude l’inviolabilité et la confidentialité des conversations. Elle est l’une des meilleures options « grand public » et est populaire parmi les politiques et les journalistes pour rehausser la sécurité.

En raison du caractère open source de son protocole, de la façon dont elle est financée (une organisation à but non lucratif), de ses choix techniques (activation par défaut du E2EE), d’une conception qui favorise by design la confidentialité et de sa commodité d’emploi, les spécialistes conseillent bien souvent d’utiliser Signal comme application de messagerie.

Meredith Whittaker, président de Signal. // Source : Princeton
Meredith Whittaker, président de la Fondation Signal. // Source : Princeton

Surtout, Signal prévoit aussi des options encore plus strictes pour celles et ceux qui veulent obtenir un niveau de protection encore plus élevé. C’est le cas des messages éphémères, du blocage des captures d’écran, de cacher l’adresse IP en cas d’appel téléphonique, de verrouiller l’application, ou bien de bloquer l’apprentissage personnalisé des claviers.

L’application de messagerie instantanée se prépare même, comme d’autres, à l’ère de la cryptographie post quantique, en adoptant des protocoles d’un nouveau genre, capables de résister aux attaques que pourraient permettre les ordinateurs quantiques. Cela, afin de garantir toujours un même degré de protection aux informations.

Pour aller plus loin
Source : Signal
Pour convertir vos proches à Signal, ne leur parlez pas uniquement de chiffrement

Le problème n’est pas la sécurité intrinsèque de Signal

Mais tout cela est vain si l’on fait entrer le loup de la bergerie. À quoi bon, en effet, avoir du chiffrement de bout en bout par défaut sur Signal si l’on met un journaliste dans la boucle d’une conversation aussi sensible ? À quoi bon avoir tout un éventail d’options qui consolident un peu plus la sécurité et la confidentialité si les membres du groupe sont imprudents ? Comment se fait-il que personne n’ait consulté la liste des membres ?

Signal est évidemment très utile pour échanger des messages avec un haut niveau de vie privée, mais l’application ne peut pas faire grand-chose face à l’inattention, la bêtise ou l’ignorance. Il existe d’ailleurs une formule un peu drôle sur Internet qui résume ce souci : PEBKAC (« Problem Exists Between Chair And Keyboard »). Le problème existe entre la chaise et le clavier. En clair, le souci, c’est la personne.

Signal
Utiliser une messagerie sécurisée c’est bien. Sécuriser le reste de son téléphone, c’est mieux. Avoir de bonnes pratiques de sécurité, c’est idéal. // Source : Signal

Même chose si votre téléphone est ouvert aux quatre vents. S’il n’y a aucune vérification au déverrouillage (code PIN, schéma, empreinte, etc.) du mobile, Signal ne sera d’aucune aide. L’application sera librement accessible à celui ou celle qui mettra la main sur le portable — même s’il est vrai que ce cas de figure suppose que l’on peut y avoir accès.

Autrement dit, se contenter d’utiliser Signal n’est pas forcément suffisant pour se prémunir d’autres risques. La sécurité personnelle en informatique est souvent décrite comme une chaîne : Signal en est bien sûr un maillon très important, mais ce n’est qu’un parmi d’autres. Si un autre chainon fait défaut, c’est tout l’ensemble qui est fragilisé.

C’est ce que montre typiquement l’affaire The Atlantic. Dans le principe, c’est très bien d’employer Signal plutôt que de passer par les SMS (les textos sont très mal sécurisés) ou par d’autres applications. Ce n’est pas pour autant un totem d’immunité capable de rattraper l’inconséquence, la maladresse ou l’incompétence.

« Sous l’administration précédente, nous avions l’air ridicules. Plus maintenant »

Il reste à voir quelles seront les conséquences politiques de cette histoire. Le retour de bâton promet d’être rude, d’autant plus que certains des membres du groupe Signal fanfaronnaient, tel Pete Hegseth, le ministre de la Défense : « Sous l’administration précédente, nous avions l’air ridicules. Plus maintenant », clamait-il encore récemment à la Maison-Blanche.

Ce même Pete Hegseth tente d’ailleurs aujourd’hui de se rattraper aux branches. Comme ligne de défense, il a choisi de jeter le discrédit sur le journaliste de The Atlantic : « Vous parlez d’un « soi disant journaliste, trompeur et fortement discrédité ». Pete Hegseth contestant les éléments du journal, depuis confirmés, y compris par son propre son camp.

Pete Hegseth
Pete Hegseth, en charge de la défense aux USA. // Source : Chairman of the Joint Chiefs of Staff

L’affaire a en tout cas fait réagir Hillary Clinton, ex-candidate Démocrate malheureuse à la présidentielle de 2016. « Vous devez vous moquer de moi », a-t-elle écrit. Pour comprendre, il faut se souvenir que les Républicains l’ont harcelée des mois durant, et appelé à la jeter en prison, notamment Donald Trump, parce qu’elle ne s’était pas servie de sa messagerie officielle quand elle était fonction. Piquant de voir aujourd’hui des Républicains passer, eux aussi, par un canal alternatif pour discuter, en l’espèce de plans de guerre.

En attendant, les mèmes n’ont pas tardé à fleurir.

Source : The Lincoln Project
Source : The Lincoln Project
Source : Karina Vinnikova
Source : Karina Vinnikova
Source : Peter Twinklage
Source : URL
Source : Mark Warner
Source : Mark Warner
Source : News Eye
Source : News Eye

Comment le journaliste de The Atlantic s’est-il retrouvé dans la boucle ? Il est probable qu’il s’agisse d’une erreur dans la création de groupe, puisque son numéro était probablement dans le répertoire de la Maison-Blanche.

Source : Numerama
Cet article existe grâce à

Les abonnés Numerama+ offrent les ressources nécessaires à la production d’une information de qualité et permettent à Numerama de rester gratuit.

Zéro publicité, fonctions avancées de lecture, articles résumés par l’I.A, contenus exclusifs et plus encore. Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+
Toute l'actu tech en un clien d'oeil

Toute l'actu tech en un clin d'œil

Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !

Marre des réseaux sociaux ? Rejoignez la communauté Numerama sur WhatsApp !