La FAA — Administration fédérale de l'aviation des États-Unis — a informé ses employés vendredi : la semaine prochaine, l'équipe informatique installera automatiquement l'application « The White House » sur tous les iPhone et iPad de service. Sans demande, sans choix. L'application apparaîtra simplement à l'écran.

Il ne s'agit pas d'une initiative locale du département de l'aviation. Le DSI fédéral Greg Barbaccia a envoyé un ordre aux directeurs de l'information en chef des agences — aider la Maison-Blanche à déployer l'application sur tous les appareils mobiles de service de la branche exécutive. Selon Government Executive, il s'agit de millions de téléphones.

Contenu de l'application

L'application a été lancée en mars 2025 avec la promesse de donner aux citoyens un accès « non filtré » aux priorités de l'administration. À l'intérieur se trouvent des communiqués de presse, des médias officiels, une sélection d'articles d'actualité et un bouton « Text President Trump », qui mène en réalité à l'abonnement à une liste de diffusion marketing.

Les fonctionnaires fédéraux recevront la même version publique — sans aucune fonction supplémentaire ni niveau d'accès. C'est précisément ce qui préoccupe le plus les experts en cybersécurité.

« Toute application installée sur un appareil de service crée potentiellement un accès par porte dérobée aux réseaux gouvernementaux au-delà du pare-feu ».

— Hashmi, ancien fonctionnaire de l'Administration des services généraux des États-Unis (GSA), citation selon Government Executive

Des chiffres qui ne correspondent pas au discours

Une analyse indépendante du code et du trafic réseau de l'application, menée par le chercheur atomic.computer, a révélé un problème structurel : seulement 23 % des demandes de l'application vont à whitehouse.gov — les 77 % restants vont à des services commerciaux tiers.

L'analyse du réseau a confirmé : chaque fois que l'application est lancée, elle transmet l'adresse IP, le fuseau horaire, le modèle de l'appareil, la version du système d'exploitation, le nombre et la durée des sessions, ainsi qu'un identifiant unique permanent au service OneSignal — bien que la description des permissions indique « cette application n'utilise pas votre localisation », et que le manifeste de confidentialité déclare une collecte de données nulle.

• L'application transmet les adresses IP, les fuseaux horaires et d'autres données utilisateur à des services tiers.
• Parmi les vulnérabilités découvertes se trouve Elfsight, une entreprise basée en Russie qui fournit des widgets pour l'application, à travers laquelle les données personnelles de certains employés de la Maison-Blanche sont devenues publiquement accessibles.
• Aucun des services commerciaux impliqués n'a l'autorisation FedRAMP — la norme fédérale obligatoire de sécurité pour les produits cloud du secteur public.
• Le suivi GPS était initialement présent, mais a été supprimé après la divulgation publique.

« Propagande » ou pratique standard ?

La Maison-Blanche défend la décision par un argument standard. La porte-parole Olivia Vails a déclaré que « les appareils gouvernementaux ont généralement des applications préinstallées, utiles pour le travail quotidien des fonctionnaires ».

Un ancien responsable technologique du gouvernement, David Nesting, voit la situation différemment : « C'est simplement un moyen de forcer tous les fonctionnaires fédéraux à voir la même propagande qu'ils diffusent auprès du public ».

Le précédent est en effet atypique : des responsables — actuels et anciens — ont qualifié cette mesure d'extrêmement insolite et même dangereuse. Auparavant, des outils de communication comme Teams ou Zoom pouvaient être installés sur les appareils de service — mais pas du contenu partisan spécifique d'une administration donnée.

Si l'un des services tiers impliqués s'avère être un vecteur de fuite, aucun responsable n'a été officiellement désigné pour auditer la sécurité de cette décision.