Plan d’attaque américain: l'application Signal est-elle vraiment sécurisée?

Une importante faille de sécurité. Ce lundi 24 mars, la Maison Blanche a confirmé qu'un journaliste a reçu des informations militaires confidentielles par erreur. Quelques heures plus tôt, Jeffrey Goldberg, rédacteur en chef du magazine américain The Atlantic, avait révélé dans un long article avoir reçu le plan d'attaque détaillé des raids menés par les Américains contre les Houthis le 15 mars.

Des informations qu'il a reçues deux heures à l'avance via la messagerie Signal. Comme le raconte le journaliste, tout a commencé le 11 mars dernier, lorsqu'il a reçu une demande de connexion sur Signal de la part de Michael Waltz, le conseiller à la sécurité nationale de la Maison Blanche. Il s'est ainsi retrouvé dans une boucle avec les plus hauts responsables du gouvernement américain, dont le secrétaire à la Défense Pete Hesgeth et le vice-président JD Vance.

"Je n'arrivais pas à croire que le conseil à la sécurité nationale du président serait imprudent au point d'inclure le rédacteur en chef de The Atlantic dans de telles discussions", souligne Jeffrey Goldberg, dans son article.

Informations très sensibles

Le rédacteur en chef avait également du mal à croire que les hauts responsables du gouvernement américain utilisait Signal pour communiquer sur de tels projets. Cette application est réputée comme étant sécurisée car les messages y sont chiffrés de bout en bout. Grâce à cette technique, "nous ne pouvons ni lire vos messages, ni écouter vos appels. En clair: vous seul y avez accès", assure la messagerie sur son site.

Si Signal est très prisée des reporters et des responsables politiques à cause de la confidentialité qu'elle promet, ce n'est pas pour autant qu'elle est censée être utilisée pour discuter de sujets aussi sensibles que des opérations militaires.

Comme l'indique Jeffrey Goldberg dans son article, s'il n'est pas rare que des responsables de la sécurité natioanle communiquent sur Signal, la messagerie est principalement utilisée pour planifier des réunions et d'autres questions logistiques.

D'anciens fonctionnaires américains lui ont en outre affirmé qu'ils avaient déjà utilisé l'application pour partager des informations non classifiées et discuter de questions de routine, mais qu'ils savaient qu'ils ne devaient jamais y partager des informations classifiées ou sensibles face au risque de piratage par un service de renseignement étranger.

Une messagerie sécurisée, mais pas approuvée par les gouvernements

À cela s'ajoute le fait que même si Signal est sécurisée, elle n'est pas approuvée par le gouvernement pour le partage d'informations classifiées. Gouvernement qui dispose de ses propres systèmes à cet effet. Pour discuter des activités militaires, les fonctionnaires doivent par exemple se rendre dans une "installation d'informations compartimentées sensibles", un espace que la plupart ont à leur domicile et où les smartphones ne sont pas autorisés.

En France aussi, les ministres ne sont pas censés utiliser Signal, mais l'application Olvid. Proposant aussi des messages chiffrés, celle-ci a pour avantage de ne pas reposer sur l'utilisation du numéro de téléphone.

Olvid offre ainsi une protection supplémentaire, contre le piratage de carte SIM, mais aussi contre le risque qu'après un changement d'opérateur téléphone, une personne récupère le numéro de téléphone d'une autre et se retrouve ainsi avec ses contenus.

Concrètement, pour contacter quelqu'un sur Olvid, il faut envoyer une invitation par un moyen tiers, comme une autre application de messagerie. À partir de là, les participants reçoivent un code à quatre chiffres, qu'ils doivent communiquer entre eux pour que la conversation soit créée. Et, ces codes ne sont utilisables qu'une fois.

Mais, depuis février 2024, il n'est plus obligatoire de partager son numéro de téléphone pour discuter avec quelqu'un sur Signal. Les utilisateurs peuvent, à la place, créer un nom d'utilisateur unique pour initier une conversation. Néanmoins, Signal les oblige toujours à renseigner leur numéro de téléphone pour s'inscrire sur sa messagerie.