« La sécurité, c’est comme les chaussettes : il faut la changer souvent, sinon ça finit par sentir mauvais. » Voilà une maxime qui semble s’appliquer parfaitement à TeleMessage, le service censé garder nos messages secrets… mais visiblement aussi étanches qu’un panier percé.
Si vous pensiez que les agents gouvernementaux américains utilisaient des applis ultrasécurisées à toutes épreuves, détrompez-vous ! La semaine dernière, tout le monde a découvert que Mike Waltz, ex-conseiller en sécurité nationale, goûtait fort à une version modifiée de Signal par TeleMessage. L’idée : permettre aux entreprises (et aux gouvernements qui aiment les commérages) d’archiver discrètement leurs conversations Signal, WhatsApp ou Telegram. Sauf que même James Bond aurait tiqué devant la suite des événements.
Car, plot twist : un hacker est venu rappeler que, parfois, ceux qui veulent trop tout archiver finissent par tout perdre. Ce sympathique pirate a trouvé une faille dans les versions modifiées de TeleMessage et, ni une ni deux, s’est offert une visite guidée des archives : messages, contacts, identifiants, et autres joyeusetés de divers organismes, de la Douane américaine jusqu’à Scotiabank, en passant par Coinbase. Rassurez-vous, les ministres américains n’ont pas vu leurs photos de chats kompromisées. Mais d’autres infos, elles, se sont fait la malle.
Quand on archive trop, ça finit par filer entre les doigts… et sur les réseaux !
La cerise sur le gâteau ? Le système de TeleMessage casse l’encryption de bout en bout. Traduction : vos messages Signal sont super protégés, sauf s’ils passent par ce service, qui les stocke alors… sans la carapace sécurisée que tout le monde pensait inviolable. Autant dire qu’un coffre-fort sans porte, c’est pratique, mais surtout pour les voleurs.
Face à cet incident, Smarsh (la maison mère de TeleMessage), n’a pas traîné : ils ont tout mis sur pause, appelé les pompiers du cyberespace, et lancé une enquête façon série Netflix (« Les Experts : Le Backend »). Heureusement, les autres services Smarsh continuent de tourner normalement… Pour l’instant.
Du côté des clients, Coinbase assure que leurs précieuses données n’ont pas été compromises : pas de seed, pas de mot de passe, pas d’accès direct. Les autres institutions, elles, font profil bas. L’histoire, elle, n’a pas fini de nous rappeler une chose : il ne faut jamais faire confiance à une archive qui veut « sécuriser » une appli déjà sécurisée.
Morale de l’histoire : quand on patch une appli sécu pour l’adapter à ses besoins, on risque de la transformer en passoire. Et, dans la tech, les passoires, ça coule… tout comme la confiance de leurs utilisateurs.
Source : Techcrunch
