Donald Trump a minimisé l'importance de cette faille de sécurité, la qualifiant de "seul problème en deux mois" de son administration.
PUBLICITÉ
Signal, une application de messagerie accessible au public, est au coeur des débats depuis qu'un journaliste a été ajouté à un groupe de discussion entre des responsables de la sécurité nationale des États-Unis pour coordonner des plans pour frapper des cibles houthies au Yémen.
Le président Donald Trump a minimisé la fuite en la qualifiant de "pépin", tandis que la directrice du renseignement national, Tulsi Gabbard, a déclaré qu'aucune information confidentielle n'avait été partagée. Le rédacteur en chef de The Atlantic, Jeffrey Goldberg, le journaliste invité par inadvertance à la discussion, a depuis publié d'autres messages qui révèlent le caractère sensible des informations divulguées.
Dans ces messages, le secrétaire à la défense Pete Hegseth expose des plans détaillés pour frapper des cibles houthies au Yémen, y compris le calendrier et les armes utilisées. Le conseiller à la sécurité nationale, Mike Waltz, a déclaré qu'il assumait "l'entière responsabilité" de la gaffe. Selon des captures d'écran fournies par The Atlantic, Mike Waltz est l'utilisateur qui a ajouté Jeffrey Goldberg à la discussion.
Cette débâcle a soulevé des questions sur les raisons pour lesquelles une application commerciale a été utilisée pour discuter d'informations potentiellement compromettantes, et sur la manière dont un journaliste a été ajouté à la discussion, apparemment par erreur.
Qu'est-ce que Signal ?
Signal est une application de messagerie réputée pour être l'une des plus sûres du marché. Elle peut être utilisée pour la messagerie directe, les discussions de groupe et les appels audio et vidéo.
Il appartient à un groupe à but non lucratif, la Signal Foundation, qui affirme que sa mission est de "permettre une communication mondiale sécurisée grâce à une technologie open source de protection de la vie privée."
Avec un nombre d'utilisateurs estimé à 70 millions dans le monde en 2024, selon l'organisation à but non lucratif Lawfare (lien en anglais), Signal n'est pas aussi largement utilisé que ses concurrents tels que WhatsApp et iMessage d'Apple.
Les comptes d'utilisateurs sont enregistrés et gérés à l'aide du numéro de téléphone mobile de l'utilisateur, qui est la seule donnée personnelle conservée par Signal. Cela signifie que lorsqu'on ajoute des membres à un groupe de discussion, comme on suppose que Michael Waltz ou un membre de son équipe l'a fait en ajoutant Goldberg, une liste des contacts mobiles de l'utilisateur ayant un compte Signal actif s'affiche.
On suppose que dans le cas de Waltz, cette liste aurait pu inclure Goldberg, bien que Waltz ait déclaré mercredi à Fox News : "je peux vous dire à 100 % que je ne connais pas ce type."
Quel est son niveau de sécurité ?
Signal utilise une forme de cryptage de bout en bout (E2EE) plus robuste que ses concurrents. Le cryptage signifie qu'en principe, tout message envoyé d'un utilisateur à un autre ne peut pas être consulté entre les deux par des tiers, même par la plateforme elle-même.
En résumé, seuls l'expéditeur et le destinataire d'un message possèdent la clé permettant de décoder un message. Sur Signal, le chiffrement n'est pas une option et est activé par défaut. Cela diffère de Telegram, par exemple, où l'E2EE n'est pas activé dans de nombreuses fonctionnalités les plus populaires de la plateforme.
Le protocole de chiffrement de Signal est également open source, ce qui signifie que les chercheurs et les experts en cybersécurité peuvent examiner le code pour s'assurer qu'il est conforme aux normes les plus strictes.
"Signal est ce qu'il y a de mieux pour un journaliste ou un activiste", a déclaré à Euronews Bart Preneel, cryptographe et professeur à la KU Leuven (Belgique), le qualifiant de "clairement l'un des meilleurs". "Mais le point le plus faible est l'appareil lui-même", a ajouté M. Preneel, "nous pouvons supposer que les États-nations ont le pouvoir de pirater les appareils mobiles et donc d'accéder à ces communications. C'est pourquoi les fonctionnaires ont généralement des appareils dédiés qu'ils doivent utiliser."
Ce chat aurait-il pu être piraté ?
Bart Preneel a également qualifié la débâcle de Signal des fonctionnaires américains d'"échec majeur". "Ces personnes auraient dû savoir qu'il ne fallait pas utiliser d'appareils non dédiés", a-t-il ajouté.
Selon une analyse de suivi des vols réalisée par CBS news, Steve Witkoff, l'envoyé de Trump pour l'Ukraine et le Moyen-Orient, se trouvait probablement à Moscou lorsqu'il a été inclus dans la discussion de groupe. Steve Witkoff s'est rendu en Russie le 13 mars pour rencontrer le président russe Vladimir Poutine dans le cadre d'une campagne en faveur d'un accord de cessez-le-feu en Ukraine. Selon les recherches de CBS, il a été ajouté à la discussion environ 12 heures après son atterrissage à Moscou.
Euronews a demandé au cryptographe Bart Preneel si le fait que M. Witkoff se trouvait en Russie pouvait avoir augmenté le risque de sécurité. "Il y a certainement plus de risques en Russie, car le gouvernement contrôle la connexion au réseau. Il est bien connu que si vous voyagez dans ce pays, votre appareil peut être piraté via le réseau", a-t-il déclaré.
Bart Preneel a ajouté qu'une autre méthode "farfelue mais pas impossible" qu'un État étranger pourrait utiliser pour accéder à ces communications est l'utilisation secrète de rayonnements électromagnétiques pour capter les signaux d'un appareil par l'intermédiaire d'une antenne. Cela leur permet essentiellement de capturer toute l'activité de l'écran d'un appareil.
Pourquoi Signal est-il populaire et les gouvernements l'utilisent-ils ?
L'application de messagerie est populaire parmi les journalistes. Les journalistes d'Euronews, par exemple, l'utilisent pour minimiser les risques de sécurité lorsqu'ils communiquent avec leurs sources. Elle est également privilégiée par les dissidents qui veulent éviter tout espionnage de la part des gouvernements.
Début 2020, la Commission européenne a conseillé à son personnel de commencer à utiliser Signal (lien en anglais) dans le cadre d'une campagne de sécurité. Dans un rapport publié l'année dernière à l'adresse, l'agence américaine de cybersécurité et de sécurité des infrastructures a exhorté les fonctionnaires à adopter des applications de communication cryptées de bout en bout, telles que Signal.
L'Associated Press a récemment découvert que plus de 1 100 fonctionnaires des 50 États américains utilisent Signal (lien en anglais). Mais au début du mois, le Pentagone a mis en garde son personnel contre l'utilisation de l'application de messagerie pour partager des informations, même non classifiées, selon un mémo consulté par le média américain NPR (lien en anglais).
La note, datée du 18 mars, indique qu'une "vulnérabilité a été identifiée dans l'application Signal Messenger", ajoutant que "des groupes de pirates professionnels russes utilisent les fonctions "appareils liés" pour espionner les conversations cryptées".
Une note du ministère de la défense datant de 2023 classe également Signal comme une application "non gérée" qui n'est pas autorisée (lien en anglais) "à accéder, transmettre ou traiter des informations non publiques du ministère de la défense."
Les fonctionnaires ont-ils enfreint la loi américaine sur les documents publics ?
Une autre question est de savoir si les hauts fonctionnaires américains qui ont participé à la discussion sur Signal ont enfreint la législation américaine relative à la conservation des documents publics.
Selon le témoignage de Jeffrey Goldberg, le groupe de discussion a utilisé la fonction "disparition des messages" de Signal pour supprimer certains messages une semaine après leur envoi. M. Preneel a expliqué à Euronews que contrairement à WhatsApp, qui permet aux utilisateurs de récupérer les messages supprimés s'ils ont opté pour un système de sauvegarde, les messages disparus sur Signal ne peuvent pas être récupérés.
Un ancien responsable de la sécurité du gouvernement américain, s'adressant anonymement au magazine Fortune, a déclaré que le type de communication dans le chat aurait dû être préservé dans le cadre des lois américaines sur l'archivage.