Veuillez noter que certains liens présents dans ce guide peuvent être des liens d'affiliation, mais que cela n'impacte pas l'objectivité de notre contenu. 
Depuis quelques jours, les signes d’une exploitation active se multiplient autour d’une vulnérabilité critique touchant TM SGNL, une version modifiée de l’application Signal.
Conçue à l’origine pour archiver les communications dans des milieux réglementés (banques, gouvernements, etc.), cette app est aujourd’hui au cœur d’un fiasco de cybersécurité.
Une affaire qui, à première vue, semble lointaine… mais qui concerne en réalité plusieurs entreprises crypto.
Un simple endpoint, une brèche béante
Le cœur du problème ? Un endpoint /heapdump non sécurisé, laissé exposé sur les serveurs de TeleMessage, la société à l’origine de TM SGNL (rachetée par Smarsh).
L’erreur paraît presque grossière. En accédant à ce point d’entrée, un attaquant pouvait télécharger un fichier mémoire complet.
Contenant des données en clair : identifiants, journaux de messages, voire fragments de discussions privées.
L’affaire a éclaté en mai dernier, mais depuis, ça s’aggrave. Des données ont fuité, notamment des échanges liés à des employés de Coinbase.
D’autres utilisateurs gouvernementaux sont aussi dans la boucle, comme la FEMA, le Secret Service, ou encore des diplomates américains en poste à l’étranger.
Et pourtant, malgré l’alerte, l’exploitation continue.
Ce 17 juillet, GreyNoise signalait encore des vagues de reconnaissance automatisée en cours : des milliers d’IP scannent activement les serveurs vulnérables à la recherche d’instances TM SGNL mal sécurisées.
Hackers scanning for TeleMessage Signal clone flaw exposing passwords – @billtoulashttps://t.co/h2ex4UUTxYhttps://t.co/h2ex4UUTxY
— BleepingComputer (@BleepinComputer) July 18, 2025
Des conséquences directes pour l’écosystème crypto
Alors oui, TM SGNL n’est pas une app crypto en soi. Mais l’écosystème n’est pas épargné pour autant. Plusieurs utilisateurs de l’application dans le monde de la fintech, dont des collaborateurs d’exchanges, se sont retrouvés exposés malgré eux.
Les dumps mémoire obtenu par le hacker ont révélé des credentials d’accès à divers environnements internes, pas toujours liés à TeleMessage.
Le pire dans tout ça ? C’est que la faille exploitée (répertoriée sous le code CVE 2025 48927) est techniquement peu complexe.
Pas besoin de zero-day ni d’un budget à la NSA. Juste un scan, un endpoint mal protégé… et un fichier de 150 Mo qui livre tout, ou presque.
CISA (l’agence américaine de cybersécurité) a fini par réagir en imposant à toutes les agences fédérales concernées de corriger ou désactiver le service avant le 22 juillet. Une mesure tardive, certes, mais qui montre l’ampleur du problème.
Dans le milieu crypto, où la confidentialité et la souveraineté des communications sont souvent des priorités absolues, cette affaire sonne comme un sérieux rappel à l’ordre.
Franchement, il serait temps d’arrêter de faire confiance aveuglément à des clones d’apps, aussi jolis soient-ils.
Ce qu’il faut en retenir
Ce n’est pas qu’une histoire de gouvernement ou de sécurité nationale. C’est surtout une leçon universelle : la sécurité d’une application ne repose pas uniquement sur son image ou son marketing.
Disons-le franchement, même les outils estampillés “secure” peuvent se transformer en passoires si l’infrastructure derrière n’est pas à la hauteur.
Pour celles et ceux qui évoluent dans l’univers crypto, où chaque fuite peut coûter cher, l’affaire TM SGNL est un rappel brutal.
Il vaut mieux utiliser des applications éprouvées, régulièrement auditées, et garder un œil critique sur tout ce qui promet monts et merveilles — notamment en matière de chiffrement.
Et notamment… penser à désactiver ces fichus endpoints oubliés. Ça paraît bête, mais parfois, c’est tout ce qu’il faut pour éviter une catastrophe.
