TeleMessage TM SGNL, une version de l’application de messagerie de signal, contient une vulnérabilité de fonctionnalité cachée dans laquelle le backend archiving contient des copies claires des messages des utilisateurs d’applications TM SGNL.
La CISA a ajouté une vulnérabilité de la sévérité moyenne découverte dans TeleMessage TM SGNL, l’application de messagerie utilisée par l’ancien conseiller à la sécurité nationale Mike Waltz, à son catalogue connu vulnérabilités exploitées (KEV).
La version modifiée de l’application Signal la plus célèbre, TM SGNL, a récemment été sondée par des chercheurs en sécurité et, par la suite, aurait été piratée, juste après la photographie de Waltz en l’utilisant sur son téléphone.
« Il peut sembler paradoxal de trouver une vulnérabilité avec un score CVSS aussi faible que 1,9 dans le catalogue KEV de CISA, attirant une attention considérable », a déclaré Eric Schwake, directeur de la stratégie de cybersécurité chez Salt Security. « Cependant, le score CVSS indique principalement les aspects techniques de la vulnérabilité plutôt que les effets de son exploitation ou l’étendue de son utilisation par les attaquants. »
La vulnérabilité activement exploitée, suivie sous forme de CVE-2025-47729, s’est vu attribuer un score de gravité de CVSS 4.9 sur 10 et affecterait le backend archiving TeleMessage publié jusqu’au 5 mai 2025. Ainsi, la mise à jour d’une version publiée après mai 2025 est recommandée comme mitigation.
L’exploitation conduit à une exposition critique
L’ajout au KEV de la CISA soulève les préoccupations, en particulier en raison de la nature critique des données exposées.
Malgré les assurances du fournisseur que l’application prend en charge le cryptage de bout en bout, il s’avère, comme l’a découvert le chercheur Micah Lee, qui a creusé dans son code source, que la communication entre l’application et l’archive finale n’est pas cryptée de bout en bout. Cela permet aux attaquants d’accéder aux journaux de discussion en texte clair.
«Bien que les méthodes d’exploitation ne soient pas compliquées (d’où le score faible), le résultat – l’accès aux journaux de chat en clair malgré les affirmations de cryptage de bout en bout – constitue une grave violation de la confidentialité, ce qui est essentiel pour un service de messagerie sécurisé, en particulier celui qui peut gérer les communications sensibles», a noté Schwake.
Les conseils de CISA pour que les agences et les entreprises évitent d’utiliser le télémontage découlent probablement de cette exploitation du monde réel confirmé et de son impact significatif sur la confidentialité des données, quel que soit le score technique, a-t-il ajouté.
Les représentants du gouvernement sont particulièrement vulnérables
TM SGNL a fait la une des journaux en mars, lorsque des hauts responsables de l’administration ont fait face à un contrecoup après que Waltz ait ajouté à tort le Jeffrey Goldberg de l’Atlantique à ce qui s’est avéré être un chat de groupe classifié.
Casey Ellis, fondatrice de BugCrowd, a noté que la liste KEV est utilisée pour s’assurer que toutes les agences fédérales sont sur la même longueur d’onde à l’écart de ce logiciel. « Compte tenu de la façon dont le signal TM a été utilisé et de l’impact d’un compromis réussi, l’inclusion KEV n’est pas surprenante pour moi », a déclaré Ellis.
Les agences fédérales n’ont que trois semaines pour résoudre toutes les vulnérabilités signalées dans le catalogue KEV, qui est une date limite obligatoire. Bien que la règle ne s’étende pas au secteur privé, les organisations à tous les niveaux sont fortement priées de surveiller la liste KEV en tant que ressource incontournable pour la priorisation des correctifs.
