Il y a quelques semaines, un petit scandale frappait la Maison Blanche, connu désormais sous la nom de Signal-Gate. Un conseiller à la sécurité nationale américain a accidentellement invité un journaliste à une discussion confidentielle sur Signal portant sur une opération militaire sensible. L’incident, survenu en mars, soulève des questions sur les outils numériques utilisés au plus haut niveau de l’État.
L’affaire, révélée par The Guardian, remonte au 13 mars dernier. À cette date, Mike Waltz (conseiller à la sécurité nationale) souhaitait répondre à Brian Hughes (lui-même porte-parole du Conseil national de sécurité), et ce, dans le cadre d’un échange sur l’application Signal. Alors, comment se fait-il que Jeffrey Goldberg, rédacteur en chef du média américain The Atlantic, ait atterri dans une conversation sur une possible frappe militaire au Yémen ?
La réalité parait folle... D'après The Guardian, en rédigeant son message, le conseiller affirme que son iPhone lui aurait proposé automatiquement une mise à jour de sa fiche de contact pour Brian Hughes. Mais il s’agissait en réalité du numéro du journaliste ! Pensant accepter une update, Waltz aurait alors validé la suggestion. Le résultat est désormais connu : Brian Goldberg se retrouve ajouté à un canal confidentiel intitulé Houthi PC small group, où étaient évoquées des opérations militaires ciblant les rebelles Houthis au Yémen.
Mike Waltz
Un bug ? Pas vraiment...
La fonctionnalité d’iOS en cause ici n’est ni nouvelle ni réservée à un usage gouvernemental : Apple propose depuis des années de fusionner ou de mettre à jour automatiquement les contacts lorsqu’un message suggère par exemple une correspondance possible entre noms et numéros. Il suffit qu’un contact apparaisse dans plusieurs échanges, ou qu’une adresse soit suggérée via Mail, Messages ou un autre service Apple, pour qu’iOS propose de l’ajouter ou la mettre à jour.
Dans la vie courante, cela permet généralement de garder un carnet d’adresses à jour. Mais dans ce contexte d’échanges hautement sensibles, cette automatisation peut engendrer des conséquences beaucoup plus graves.
Jeffrey Goldberg
L’incident n’implique pas une vulnérabilité de l’iPhone ni de Signal, mais souligne plutôt une mauvaise gestion de l’information sensible. Comme le rappelle The Atlantic dans l’article signé justement par Brian Goldberg, le gouvernement américain utilise régulièrement Signal pour les communications confidentielles, en l’absence d’un système interne plus sécurisé ou mieux adapté.
Le fait que l’erreur ait permis à un journaliste d’assister brièvement à des échanges sur une frappe militaire stratégique interroge néanmoins sur les procédures internes. Dans son article, le journaliste précise qu’il s’est rapidement retiré du canal dès qu’il a compris la nature des échanges. Il en a toutefois profité pour publier un récit détaillé, révélant non seulement le nom du groupe Signal, mais aussi certaines informations tactiques sur les cibles envisagées.
Ne pas cliquer trop vite
L’erreur du conseiller met en lumière un point souvent sous-estimé : l’automatisation intelligente des systèmes comme iOS peut introduire des risques non négligeables dans des environnements critiques. Si Apple met en avant la confidentialité et la sécurité de ses produits, l’exemple démontre que l’enjeu dépasse souvent la seule technologie, et repose aussi sur des bonnes pratiques d’usage (ou en l'espèce de dossier sensible).
Pour l’instant, aucun commentaire officiel n’a été émis par Apple sur cette affaire. Du côté de la Maison Blanche, la réponse reste également limitée, bien que des discussions aient été engagées sur la manière de mieux sécuriser les échanges au sein des équipes stratégiques. Cette affaire illustre, une fois de plus, qu’en matière de sécurité numérique, les erreurs humaines restent souvent le maillon faible.
