Un chercheur en sécurité a décompilé l'application mobile de la Maison-Blanche censée offrir un accès sans précédent au président Trump et ce qu'il a trouvé est préoccupant :
GPS prêt à s'activer, injection JavaScript silencieuse, dépendance critique confiée à un développeur en Inde

Quand la Maison-Blanche lance une application mobile, les chercheurs en sécurité s'empressent d'en décompiler le code et ce qu'ils y ont trouvé dépasse largement les polémiques habituelles sur la propagande politique. GPS compilé prêt à s'activer à distance, injection silencieuse de JavaScript dans les pages tierces, dépendance critique confiée à un développeur privé indien via un dépôt GitHub personnel, données utilisateurs acheminées vers un prestataire commercial fondé en Russie : l'application officielle de l'administration Trump, censée offrir un « accès sans précédent » au président, ressemble davantage, selon plusieurs experts, à un logiciel de surveillance habillé en fil d'actualité.

Le 27 mars 2026, la Maison-Blanche lançait avec fanfare son application officielle sur iOS et Android, la présentant comme un moyen d'accéder directement aux informations de l'administration Trump; livestreams, mises à jour en temps réel, alertes présidentielles. Quelques heures seulement après sa mise en ligne, un chercheur en sécurité opérant sous le pseudonyme Thereallo, connu pour des collaborations avec le site de référence Krebs on Security, extrayait l'APK Android et l'ouvrait avec JADX, un désassembleur open source standard. Ce qu'il allait déterrer dans les 863 393 lignes de bytecode reconstituées allait rapidement circuler dans les milieux de la cybersécurité, avant de déborder vers la presse généraliste.

L'application est construite sur React Native avec l'Expo SDK 54, le moteur JavaScript Hermes en arrière-plan, et WordPress comme système de gestion de contenu côté serveur, exposé via une API REST personnalisée. Rien d'extravagant techniquement, c'est précisément ce qui a alerté les experts. Pour une application officielle de la première puissance mondiale, les standards attendus sont sans commune mesure avec ceux d'un blog associatif.

Un second chercheur, opérant cette fois sur iOS via la société Atomic Computer, publiait ses propres conclusions le même jour, en toute indépendance. Deux chercheurs trouvant les mêmes problèmes sur les mêmes plateformes le même jour constitue la forme la plus proche de confirmation indépendante qu'on puisse obtenir en recherche de sécurité. Leurs rapports ont été transmis à la CISA (Cybersecurity and Infrastructure Security Agency) et à Apple.

Nom : maison blanche.png Affichages : 49760 Taille : 17,3 Ko

Le navigateur intégré comme instrument d'injection

Le premier élément mis en lumière par Thereallo concerne le navigateur embarqué dans l'application. À chaque ouverture d'un lien depuis l'application, celle-ci injecte silencieusement du JavaScript et du CSS dans la page chargée : elle dissimule les bannières de cookies, les fenêtres de consentement RGPD, les popups OneTrust, les paywalls, les invitations à s'inscrire et les boîtes de gestion du consentement. Elle force en parallèle un style CSS pour réactiver le défilement sur les pages où ces dialogues bloquent la navigation, puis installe un observateur de mutations pour supprimer en continu tout élément de consentement ajouté dynamiquement.

Code JavaScript : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
(function() {
  var css = document.createElement('style');
  css.textContent = [
    '[class*="cookie"], [id*="cookie"], [class*="Cookie"], [id*="Cookie"]',
    '[class*="consent"], [id*="consent"], [class*="Consent"], [id*="Consent"]',
    '[class*="gdpr"], [id*="gdpr"], [class*="GDPR"]',
    '[class*="privacy-banner"], [id*="privacy-banner"]',
    '[class*="onetrust"], [id*="onetrust"]',
    '[class*="cc-banner"], [class*="cc-window"]',
    '[aria-label*="cookie" i], [aria-label*="consent" i]',
    '[class*="login-wall"], [class*="loginWall"], [class*="LoginWall"]',
    '[class*="signup-wall"], [class*="signupWall"]',
    '[class*="upsell"], [class*="Upsell"]',
    '.cmpboxBtnYes, .cmpbox, #cmpbox, .cmpboxBG',
    '[class*="banner-cookie"], [class*="CookieBanner"]',
  ].join(',') + '{ display: none !important; visibility: hidden !important; }';
  css.textContent += 'body { overflow: auto !important; }';
  document.head.appendChild(css);
 
  var observer = new MutationObserver(function() {
    var els = document.querySelectorAll(
      '[class*="cookie" i], [class*="consent" i], [class*="gdpr" i], '
      + '[id*="cookie" i], [id*="consent" i]'
    );
    els.forEach(function(el) { el.style.display = 'none'; });
  });
  observer.observe(document.body, { childList: true, subtree: true });
})();
true;

La réaction immédiate de certains internautes a été de s'en réjouir, après tout, qui n'a pas souhaité se débarrasser des popups de cookies ? Mais la distinction est fondamentale : lorsqu'un utilisateur installe une extension comme uBlock Origin, c'est un choix éclairé et personnel. Lorsque c'est une application gouvernementale officielle qui opère cette suppression à l'insu de l'utilisateur, on entre dans un tout autre registre. Ces mécanismes de consentement existent précisément parce que des gouvernements, dont celui des États-Unis, ont légiféré pour les imposer aux plateformes en ligne. Il y a quelque chose de comiquement absurde dans le fait que l'exécutif américain livre du code qui détruit silencieusement l'infrastructure de conformité légale de chaque site visité via son application.

Nom : white house.png Affichages : 8781 Taille : 898,4 Ko

Le pipeline GPS : prêt à basculer

La découverte la plus commentée reste celle du système de géolocalisation. L'application contient un pipeline complet de suivi GPS conçu pour transmettre les coordonnées précises de l'utilisateur toutes les 4,5 minutes lorsqu'il est en premier plan, et toutes les 9,5 minutes lorsqu'il ne l'utilise pas. Les données collectées comprennent latitude, longitude, précision, horodatage et état de l'application, le tout synchronisé vers les serveurs commerciaux de OneSignal.

OneSignal est une société américaine spécialisée dans les notifications push et l'analyse comportementale. Ce n'est pas un prestataire gouvernemental certifié. L'ensemble du pipeline (chaînes de permissions, constantes d'intervalle, requêtes de localisation fusionnée, logique de capture, planification en arrière-plan et synchronisation vers l'API OneSignal) est entièrement compilé dans l'application, et n'est plus qu'à un appel de la fonction setLocationShared(true) d'être activé. Le plugin Expo withNoLocation n'a manifestement pas supprimé ce code.

En d'autres termes : au mieux, les développeurs ont tenté de désactiver le suivi de localisation et ont échoué. Au pire, ils ont maintenu l'infrastructure en place pour un usage futur, activable à distance sans mise à jour de l'application. La capacité peut être déclenchée à distance via le OSRemoteParamController de OneSignal, sans passage par les stores. La politique de confidentialité affichée par l'application ne mentionne ni l'application mobile, ni le GPS, ni OneSignal.

Nom : track.png Affichages : 8687 Taille : 14,9 Ko

Un développeur privé en Inde tient les clés de l'appli de la Maison-Blanche

L'application charge des vidéos via un élément iframe pointant directement vers le dépôt GitHub personnel d'un utilisateur répondant au nom de LonelyCPP, un développeur basé en Inde prénommé Ananthu. Cela signifie concrètement que ce développeur, via son compte GitHub, peut pousser une mise à jour de son dépôt qui exécutera du code arbitraire sur l'ensemble des appareils ayant installé l'application de la Maison-Blanche sans aucun processus de validation, sans approbation gouvernementale.

Face à cette découverte, le principal intéressé a répondu avec une franchise désarmante : ils auraient dû héberger le script eux-mêmes. Il a raison. Toute équipe compétente aurait dû copier et auto-héberger ses dépendances externes plutôt que de les charger à la volée depuis un serveur tiers. C'est une vulnérabilité de chaîne d'approvisionnement logicielle de premier ordre, du type de celles qui ont alimenté les pires incidents de sécurité des dernières années.

Nom : ananthu.png Affichages : 8670 Taille : 75,4 Ko

Elfsight, OneSignal et les données des personnels de la Maison-Blanche

Un chercheur a montré à NOTUS (News Of The United States) que Elfsight, une société fondée en Russie fournissant des widgets préconfigurés intégrés à l'application, rendait accessibles publiquement des informations personnelles concernant certains membres du personnel de la Maison-Blanche. Elfsight n'est pas un prestataire certifié FedRAMP, le référentiel d'autorisation que les agences fédérales américaines sont supposées utiliser pour leurs services cloud.

Philip Fields, chercheur en cybersécurité et ancien analyste du FBI, l'a formulé sans détour : l'infrastructure américaine est actuellement attaquée de toutes parts, et confier la présence publique de la Maison-Blanche à un développeur WordPress amateur met en danger quiconque visite l'application. Adam Enger, un autre expert ayant analysé le code et le trafic réseau, a mis en évidence le glissement que représente cette situation : on en arrive au point où c'est le gouvernement fédéral qui collecte ces données et les envoie à des tiers.

Le trafic réseau capturé confirme que l'application transmet à OneSignal, à chaque lancement, l'adresse IP de l'utilisateur, son fuseau horaire, son pays, son modèle d'appareil, la version de son système d'exploitation, le nombre de sessions, leur durée et un identifiant unique persistant. Aucune de ces données n'est déclarée dans le manifeste de confidentialité.

Le vibe coding comme politique de l'État

L'absence de certificate pinning, mécanisme qui vérifie que l'application communique bien avec ses propres serveurs et non avec un intermédiaire malveillant, facilite considérablement les attaques de type man-in-the-middle. Les artefacts de développement laissés dans la version de production trahissent un processus de livraison non maîtrisé. L'infrastructure Expo OTA (Over-The-Air) reste configurée, ce qui permet des mises à jour du bundle JavaScript sans validation par les stores.

Dans les commentaires de la communauté Reddit, la formulation qui a le mieux circulé est celle de « vibe coding », terme désignant le fait de générer du code à la va-vite via des outils d'IA sans en comprendre ni en vérifier le contenu. Techdirt a repris l'expression dans son titre. Elle résume assez bien le sentiment général face à une application gouvernementale de cette importance manifestement construite sans audit de sécurité, sans conformité aux référentiels fédéraux, et sans intervention des équipes spécialisées qui existaient précisément pour éviter ce genre de désastre.

Le U.S. Digital Service avait été créé à la suite de la catastrophe de Healthcare.gov sous l'administration Obama, précisément pour faire entrer de véritables ingénieurs logiciels dans l'appareil fédéral. Cette structure a été largement démantelée dans le cadre des réductions budgétaires opérées par le DOGE (Department of Government Efficiency) depuis le début du second mandat de Donald Trump. Le résultat est là, dans 863 393 lignes de bytecode reconstituées par un chercheur indépendant un vendredi soir.

Enger a posé la question qui fâche : si lui-même a pu trouver tout cela en une heure un vendredi soir, jusqu'où nos adversaires sont-ils déjà allés avec ces données ?

Sources : Maison Blanche, Philip Fields sur NOTUS, Thereallo, analyse du code côté sécurité

Et vous ?

Trouvez-vous les résultats présentés par les chercheurs surprenants ? Dans quelle mesure ?

Une conséquence directe des suppressions de postes orchestrées par la DOGE ? Le démantèlement du U.S. Digital Service constitue-t-il un risque systémique pour la sécurité des applications gouvernementales américaines et quelles structures équivalentes existent en Europe pour prévenir des dérives similaires ?

La frontière entre outil de communication gouvernemental et dispositif de surveillance est-elle encore traçable lorsqu'un pipeline GPS est compilé dans une application officielle, même désactivé ?

Le recours à des prestataires non certifiés FedRAMP (OneSignal, Elfsight) dans une application de la Maison-Blanche constitue-t-il une faute grave ou simplement le reflet de pratiques devenues courantes dans le secteur public ?

L'injection silencieuse de JavaScript pour supprimer les bannières de consentement RGPD dans un navigateur embarqué soulève-t-elle une responsabilité légale pour l'État américain vis-à-vis des éditeurs européens ?

La dépendance critique envers un dépôt GitHub personnel non contrôlé est-elle le symptôme d'un « vibe coding » généralisé ou révèle-t-elle un problème plus structurel de sous-traitance non auditée dans les marchés publics numériques ?