L’application Signal est abondamment citée dans la presse depuis deux jours, car elle a servi d’espace de discussion à des officiels américains — et des échanges sensibles ont eu lieu. Aujourd’hui, la messagerie instantanée prend la parole pour apporter des nuances, notamment vis-à-vis d’un mémo discutable du Pentagone.

Elle est depuis deux jours au cœur de l’actualité : l’application de messagerie instantanée Signal n’a sans doute jamais été autant dans la lumière. La raison ? Elle a servi de lieu d’échange aux plus hauts responsables du gouvernement américain et des principaux patrons des services de renseignement.

Cela aurait pu rester confidentiel, mais cette discussion avait un « passager clandestin » : un journaliste de The Atlantic, visiblement ajouté dans la boucle par erreur. Il a constaté que des conversations sensibles avaient lieu hors des canaux sécurisés du gouvernement. Depuis, c’est le scandale aux États-Unis, les officiels impliqués étant accusés d’incompétence.

Pete Hegseth
Pete Hegseth, ministre de la Défense, se trouvait dans le groupe secret. // Source : Chairman of the Joint Chiefs of Staff

Dans le camp présidentiel, tout est fait pour minimiser l’affaire. Donald Trump a évoqué un simple pépin, avant de s’en prendre directement au journaliste et à The Atlantic. Une stratégie également suivie par Pete Hegseth, le ministre de la Défense. Quant aux chefs du renseignement, ils ont cherché à atténuer la gravité de l’affaire.

Dans ce contexte, la sécurité de l’application Signal a aussi été mise sur la table : est-elle assez sûre pour accueillir des débats stratégiques sur des frappes militaires, c’est-à-dire des échanges pouvant relever du secret défense ? Selon un mail du Pentagone daté du 18 mars, et obtenu par la radio publique américaine NPR, la réponse est plutôt non.

Le courrier indique « qu’une vulnérabilité a été identifiée dans l’application de messagerie instantanée Signal. L’utilisation de Signal par les cibles habituelles des activités de surveillance et d’espionnage a fait de cette application une cible de grande valeur pour l’interception d’informations sensibles. »

Le mémo ajoute que des « groupes de pirates professionnels russes utilisent les fonctions ‘appareils associés’ pour espionner les conversations chiffrées ». Ce sujet renvoie directement à une découverte faite par Google montrant qu’il existe un stratagème pour compromettre Signal, via la diffusion de QR Codes malveillants.

Source : Signal
L’interface de Signal, pour les appels. // Source : Signal

Signal dénonce une formulation hasardeuse du Pentagone

C’est justement sur ce mémo que Signal vient de rebondir, le 25 mars, dans un message publié sur Twitter. Les responsables de l’application l’assurent : il est inexact de parler de « vulnérabilité dans Signal » compte tenu du mode opératoire décrit par Google. Celui-ci est effectivement un problème, mais qui n’implique pas les fondamentaux techniques de Signal.

« Cela n’a rien à voir avec la technologie au cœur de Signal. Il s’agissait d’une mise en garde contre les escroqueries par hameçonnage visant les utilisateurs de Signal », écrit la messagerie. « L’hameçonnage n’est pas nouveau, et il ne s’agit pas d’une faille dans notre cryptographie ou dans l’une des technologies sous-jacentes de Signal. »

« Il ne s’agit pas d’une faille dans notre cryptographie »

Signal

La spécificité de l’application réside dans des espaces de discussion protégés par du chiffrement de bout en bout : des procédés mathématiques sont mobilisés pour chiffrer les discussions, afin de les rendre illisibles pour toute personne qui en est en dehors. Le protocole de Signal est très réputé dans le milieu de la cryptographie.

Activé par défaut dans Signal, ce chiffrement de bout en bout est par ailleurs open source, de manière à ce que tout le monde puisse vérifier qu’il n’y a pas de vice caché dans le code informatique. Cette preuve par la transparence est la plus efficace pour la confiance. Et à cela s’ajoutent les audits auxquels l’app se soumet régulièrement.

« Les attaques de phishing sont une menace constante pour les applications et les sites web populaires », ajoute Signal. C’est en quelque sorte le revers de la médaille du succès croissant que la messagerie rencontre. Plus elle attire du monde, plus elle devient une cible pour des actions malveillantes, à l’image de celle remontée par Google.

La sécurité est aussi l’affaire des internautes

Il s’avère que certaines attaques tentent plutôt de profiter de l’inattention ou bien du manque d’hygiène informatique des internautes pour advenir, au lieu de s’attaquer à l’efficacité du chiffrement de Signal. C’est typiquement le cas des opérations reposant sur des QR Codes vérolés à des fins de phishing. En somme, l’objectif est de pousser l’internaute à la faute, pour qu’il fasse entrer le loup dans la bergerie.

Si la sécurité intrinsèque de Signal n’est pas ici en cause, l’application a dû toutefois réagir pour réduire l’exposition au risque. « Afin d’éviter que les gens ne soient victimes d’attaques de phishing sophistiquées, Signal a introduit de nouveaux flux d’utilisateurs et des avertissements dans l’application », a-t-elle écrit.

Le phishing par QR code est de plus en plus employé. // Source : Unsplash
Le phishing par QR code est de plus en plus employé. // Source : Unsplash

En clair, selon Signal, le mémo est discutable dans sa forme et surtout il n’a aucun lien avec les évènements actuels. Signal a déployé des mesures de sécurité additionnelles dans l’app via des mises à jour pour Android et iOS (. Il y a également des options plus générales pour renforcer la sécurité de Signal sur son téléphone.

Mais toutes les dispositions techniques du monde ne suffiront sans doute pas à assurer une protection pure et parfaite : il faut aussi que l’internaute y mette du sien, en l’espèce en évitant de scanner un QR Code sans réfléchir, en vérifiant régulièrement la liste des appareils connectés à son compte et en s’abstenant de cliquer sur tout et n’importe quoi.

Tant que le niveau général en hygiène informatique ne sera pas assez élevé, les opérations reposant sur l’ignorance, la crédulité et l’imprudence des internautes perdureront. Exactement comme l’affaire The Atlantic, où un journaliste a été ajouté par mégarde dans un groupe secret dans lequel il n’aurait jamais dû être.

Signal

Signal

Télécharger gratuitement
une comparateur meilleur vpn numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+
Toute l'actu tech en un clien d'oeil

Toute l'actu tech en un clin d'œil

Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !

Marre des réseaux sociaux ? Rejoignez la communauté Numerama sur WhatsApp !