C’est l’un des plus gros scandales cyber de l’année et il concerne directement le gouvernement américain. Début mai, le site d’investigation 404 Media révélait que certaines agences fédérales américaines, comme la U.S. Customs and Border Protection, utilisent une version clonée et modifiée de l’application Signal.
Cette application, proposée par la société israélienne TeleMessage, a en effet été adoptée par le gouvernement américain car elle permet d’archiver les conversations de ses membres, une pratique rendue légalement obligatoire au sein des institutions fédérales outre-Atlantique.
Pourtant, en transférant les conversations vers un serveur tiers pour les archiver, le fonctionnement même de ce clone annule de fait le chiffrement de bout en bout au cœur de l’identité et de la sécurité de l’application Signal.
Le clone en question, appelé TM SGNL, aurait été piraté en quelques minutes. Quelques semaines plus tard, ce sont 410 Go de données issues de ce piratage qui se retrouvent publiées en ligne.
Les données de l’application officielle également exposées
Le clone développé par TeleMessage repose sur la même architecture que l’application officielle Signal : les deux versions sont interopérables et peuvent communiquer sans restriction.
Contrairement à la version d’origine, le clone archive systématiquement les messages en clair sur un serveur tiers, celui de TeleMessage. Ainsi, toute personne échangeant avec un utilisateur du clone voit ses messages exfiltrés à son insu, même si elle utilise la version officielle de Signal. Cette interopérabilité rend possible la compromission de conversations pourtant initiées depuis un environnement sécurisé.
Par ailleurs, le problème va au-delà de Signal : TeleMessage propose aussi des versions modifiées d’autres applications populaires comme WhatsApp, Telegram ou WeChat, toutes connectées à la même infrastructure de collecte et d’archivage désormais compromise.
Un piratage en quelques minutes, en exploitant des vulnérabilités du code source
Ce piratage s’explique par une série d’erreurs techniques élémentaires. Les développeurs de TeleMessage avaient laissé les archives complètes du code source Android et iOS librement accessibles sur leur propre site web, incluant notamment un dossier .git contenant tout l’historique de développement, ainsi que des identifiants sensibles codés en dur. Cette exposition publique a permis à plusieurs chercheurs en sécurité d’analyser immédiatement le fonctionnement de l’application et de découvrir des vulnérabilités critiques.
En seulement vingt minutes, l’un d’eux a pu démontrer la possibilité d’intercepter des conversations, prouvant ainsi que TeleMessage avait la capacité technique d’accéder aux messages en clair, en totale contradiction avec le niveau de sécurité promis. Le piratage n’a donc nécessité ni intrusion sophistiquée, ni faille zero-day, mais simplement l’exploitation d’un code source laissé en libre accès et de pratiques de développement basiques mal maîtrisées.
Le pirate a pu accéder à :
- des messages en texte clair, échangés par des membres de la U.S. Customs and Border Protection, mais aussi des salariés de grandes entreprises comme le géant de la cryptomonnaie Coinbase,
- des identifiants et mots de passe d’utilisateurs,
- des métadonnées détaillant les contacts, les heures, les contenus et autres informations contextuelles associées aux échanges.
Une analyse technique complète de cette compromission, réalisée par le journaliste Micah Lee, est disponible juste ici : Lire l’analyse complète.
Une faille systémique, pas un cas isolé
Ce qui s’est passé avec le clone de Signal n’est pas une anomalie rare ou un accident isolé, c’est l’illustration d’une pratique répandue et de risques profondément enracinés à l’écosystème applicatif.
Le clonage et la modification d’applications est une pratique extrêmement courante, souvent réalisée sans réelle analyse de l’impact que cela a sur la sécurité. Il peut s’agir d’applications modifiée pour intégrer une fonctionnalité métier comme ici ou dans d’autres cas, modifiées à des fins de fraude ou malveillantes : contournement de systèmes de paiement, injection de code espion, collecte silencieuse de données personnelles…
Même en l’absence d’intention malveillante, ces modifications affaiblissent ou rendent caduque les mécanismes de sécurité natifs des applications d’origine.
La leçon : les applications mobiles doivent être testées
Ce scandale rappelle une vérité souvent négligée : aucune application ne peut être considérée comme sûre par défaut, qu’elle soit populaire, open source ou même validée en apparence.
Ce principe s’applique à tous les contextes d’usage :
- L’utilisation d’applications tierces
Toutes les applications exécutent des comportements invisibles à l’œil nu, et lorsqu’utilisées en entreprise, ces comportements peuvent mener à des violations de données ou à de la fraude. Pradeo dispose de solutions pour tester et contrôler la sécurité des applications tierces utilisées dans le cadre professionnel de manière automatisée ou à la demande. Elles permettent d’identifier les comportements à risque (manipulation de données, connexions, malware, tracking…) pour qualifier rapidement la fiabilité d’une application.
- Le développement et la publication d’applications
Qu’il s’agisse d’une application métier ou grand public, il est essentiel de détecter les risques dès la phase de développement, et de maintenir ces contrôles tout au long du cycle de vie des applications. La suite d’outils AppSec Yagaan powered by Pradeo propose des solutions AST (Application Security Testing) et MAST (Mobile Application Security Testing) qui permettent d’analyser le code source et/ou binaire des applications mobiles et web, d’y repérer des failles de sécurité (vulnérabilités, fuite de données...) et de les corriger simplement.
