Les inquiétudes autour de l’application Signal augmentent en raison de récentes attaques de hackers russes, alertant même le Pentagone. Cette situation met en lumière des failles dans la sécurité des communications officielles aux États-Unis, suscitant des interrogations sur l’utilisation de l’application pour des informations sensibles.
La sécurité de l’application suscite des doutes en raison des multiples attaques de hackers
Le Département de la Défense des États-Unis a émis un avertissement formel concernant l’utilisation de l’application de messagerie Signal, même pour des informations non classifiées. Cet avertissement intervient quelques jours après qu’un journaliste ait été accidentellement inclus dans un chat Signal où des opérations militaires contre des cibles huties au Yémen étaient discutées. Cette fuite a révélé les vulnérabilités de sécurité dans les communications officielles du gouvernement américain, bien que ce ne soit pas tant la sécurité de l’application qui soit en cause. Cependant, il est vrai que des hackers russes ciblent Signal depuis plusieurs mois.
Une violation de la sécurité au plus haut niveau gouvernemental
Selon NPR, un mémorandum interne du Pentagone, daté du 18 mars et obtenu par cette source, avertit qu’une vulnérabilité a été identifiée dans l’application de messagerie Signal. Le document indique que des groupes de hackers russes professionnels utilisent les fonctions de « dispositifs liés » pour espionner des conversations chiffrées, et que Google a identifié des groupes de hackers russes prêts à s’attaquer à l’application de messagerie.
L’incident s’est produit lorsque le Secrétaire de la Défense, Pete Hegseth, et d’autres hauts responsables de la sécurité nationale ont utilisé Signal pour discuter d’opérations militaires contre les huties. Jeffrey Goldberg, rédacteur en chef de The Atlantic, a été ajouté malgré lui au groupe, ayant alors accès à ces discussions hautement sensibles. Dans le milieu militaire, envoyer des données classifiées par des canaux non sécurisés est ce qu’on appelle un « déversement », une pratique extrêmement sensible qui peut être très sévèrement sanctionnée.
Un mémorandum antérieur du Département de la Défense en 2023, également obtenu par NPR, interdisait déjà l’utilisation d’applications mobiles même pour des « informations non classifiées contrôlées », qui sont bien moins critiques que les informations concernant les opérations militaires en cours. Cet incident établit un précédent sans égal où les dirigeants de la Défense, des affaires étrangères, du renseignement et de la sécurité nationale partagent des informations militaires délicates dans un espace où cela ne devrait pas se faire. Et il ne s’agit pas d’un manque de sécurité de Signal, mais de méthodes de partage d’informations assez risquées.
Un porte-parole de Signal, Jon Hurada, a expliqué que le mémorandum du Pentagone ne remet pas en question le niveau de sécurité de l’application, mais met en garde les utilisateurs contre les risques liés aux « attaques de phishing ». « Dès que nous avons pris connaissance des attaques visant les utilisateurs de Signal et de la manière dont elles se produisaient, nous avons mis en place des mesures de sécurité supplémentaires et des avertissements au sein de l’application pour aider à protéger les personnes contre les attaques de phishing. Ce travail a été achevé il y a plusieurs mois. »