La boulette du gouvernement de Trump a fait le tour du web et des médias. Et déjà, le Pentagone met en garde contre un groupe de hackers russes passant l'application au peigne fin à la recherche de vulnérabilités.
Un peu plus tôt ce mois-ci, un haut responsable du cabinet du président américain Donald Trump a fait l'erreur d'inclure un journaliste dans un groupe d'échange de l'application Signal. L'invité surprise a été accidentellement informé d'une série de bombardements planifiée au Yémen. Mais selon le Pentagone, l'application n'aurait jamais dû être utilisée.
La défense américaine met en garde sur l'usage de Signal
Dans une note de service datée du 18 mars et visant l'ensemble du personnel du Pentagone, le département de la défense aux États-Unis a prévenu d'une faille au sein de la messagerie Signal.
"L'utilisation de Signal par des personnes qui sont fréquemment la cible de surveillance et d'espionnage fait de l'application elle-même une cible de grande valeur pour intercepter des informations sensibles", est-il ainsi expliqué.
La faille en question concerne l'utilisation de l'application de bureau. Cette dernière permet aux utilisateurs d'interagir avec Signal plus confortablement depuis le clavier de l'ordinateur. Les messages reçus sur le smartphone sont ainsi synchronisés sur le PC et déchiffrés. C'est en modifiant le code QR servant à relier un appareil tiers qu'une attaque peut être orchestrée.
Pour des raisons de sécurité, Signal n'a jamais mis à disposition une application Web semblable à celle de WhatsApp. Mais, le mois dernier, Google avait prévenu que le logiciel lui-même pouvait faire l'objet d'une attaque similaire.
Le département de la Défense des États-Unis explique qu'il est tout à fait acceptable d'utiliser Signal, mais pas pour des échanges d'informations classées confidentielles.
L'erreur est humaine, pas technique
De son côté, Signal explique avoir corrigé tout problème de sécurité. NPR rapporte les propos de Jun Harada, porte-parole de la fondation, lequel affirme : "Lorsque nous avons appris que les utilisateurs de Signal étaient ciblés et de quelle manière, nous avons introduit des garanties supplémentaires et des avertissements au sein de l'application pour aider à protéger les personnes contre les attaques de phishing". Il précise que ces travaux ont eu lieu il y a déjà des mois.
Rappelons que Signal chiffre chacun des messages avec le protocole Perfect Forward Secrecy. Ce dernier garantit que même si un attaquant obtient les clés privées utilisées pour une session, il ne pourra pas décrypter les données des sessions passées ou futures. Le protocole génère donc des clés de session uniques pour chaque communication.
