Un hacker explique avoir réussi à s'infiltrer au sein des serveurs de TeleMessage, une société ayant mis au point des versions modifiées de Signal, WhatsApp ou Telegram pour le gouvernement américain.
- TeleMessage, en modifiant des applications populaires, permet l'archivage mais expose involontairement des données sensibles à des piratages.
- Ce hacker a dévoilé la vulnérabilité, accédant à des conversations confidentielles de figures politiques majeures en quelques minutes.
- TeleMessage clame maintenir le chiffrement d'origine, mais Signal met en doute la sécurité des versions non officielles.
Pirater les conversations privées du secrétaire d'État, de la directrice du renseignement national ou encore du vice-président des États-Unis, c'est ce qu'a fait ce hacker en quelques minutes seulement.
TeleMessage : le service qui affaiblit la sécurité du chiffrement
L'entreprise TeleMessage propose à ses clients – institutions publiques comme entreprises privées – des versions modifiées d’applications populaires comme Signal, WhatsApp, Telegram ou encore WeChat. L'objectif est de pouvoir archiver automatiquement les messages échangés. Cette fonctionnalité vise à répondre à des exigences légales de conservation des communications, notamment dans le secteur financier ou pour des organismes publics soumis à des obligations de transparence et de traçabilité.
Mais cette solution d’archivage a introduit en parallèle une faille majeure : les messages, censés rester chiffrés de bout en bout, sont en réalité copiés et stockés sur des serveurs externes, parfois sans protection suffisante. C'est ainsi qu'un hacker a ainsi pu accéder non seulement à des contenus de discussions, mais aussi à des noms, numéros de téléphone et identifiants d’accès à l’interface d’administration de TeleMessage.
Interrogé par 404Media, le pirate affirme : "je dirais que le processus en entier a duré entre 15 et 20 minutes (...) Ce n'était vraiment pas très difficile". Il explique avoir pu récupérer des fragments de conversations actives, dont certaines impliquaient des responsables politiques américains, des employés de la douane, la police municipale de Washington DC ou encore des salariés de géants de la crypto comme Coinbase et Galaxy Digital.
Dans une vidéo publiée sur YouTube et désormais retirée, TeleMessage affirme que son service n'altère pas la sécurité de Signal et conserve le chiffrement de bout en bout des communications. "La seule différence est que la version TeleMessage capture tous les messages Signal entrants et sortants à des fins d’archivage", expliquait ainsi l'entreprise israélienne.
De son côté, la fondation Signal explique qu'elle n'est pas en mesure de garantir le niveau de confidentialité et de sécurité des versions non officielles de Signal. Et de toute évidence, TeleMessage n'a pas pris les mesures nécessaires pour conserver le chiffrement initial.
