Victime d’une attaque zero-day début juin, Telegram corrige le tir avec sa dernière mise à jour de début juillet mais un risque subsiste toujours pour certains utilisateurs.
Telegram : gage de sécurité, simplicité et efficacité ?
Telegram est la plus populaire des applications de messagerie chiffrée et promet à ses utilisateurs un niveau de sécurité très élevé qui rendrait quasi impossible toute tentative de piratage. Disponible gratuitement tant pour les smartphones que pour les ordinateurs, les messages envoyés dans les conversations sont hébergés sur un cloud externalisé et peuvent donc être consultables sur tous les appareils d’un utilisateur, garantissant dès lors une véritable disponibilité multiplateforme. Les messages peuvent être constitués de n’importe quel type de photos, vidéos et fichiers divers et ils sont très simples et rapides à envoyer.
Telegram et le chiffrement de bout en bout
Telegram accorde une importance primordiale à la sécurité et a fait du protocole de chiffrement des messages de bout en bout un pilier central de sa stratégie de sécurité. Les conversations dans l’application sont ainsi protégées contre l’espionnage car elles ne peuvent être lues que par les personnes participant à la conversation et ayant donc l’autorisation de les lire. En effet, le chiffrement de bout en bout repose sur des clés cryptographiques sans lesquelles il n’est pas possible de déchiffrer les messages et qui empêche une personne tierce d’accéder aux données transférées dans la conversation.
La chimère de l’invulnérabilité absolue
Forte de ses divers protocoles de sécurité, l’application Telegram est-elle pour autant invulnérable ? La réponse est, évidemment, non. Le risque zéro n’existe pas, particulièrement en ce qui concerne la sécurité numérique. Un exemple en date est la faille zero-day à laquelle Telegram a dû faire face depuis au moins le mois de juin et qui a permis à des pirates potentiels d’installer une application quelconque sur les smartphones des personnes visées sans que ces dernières en soient informées.
En effet, c’est une société slovaque spécialisée dans la cybersécurité (ESET) qui a découvert la faille de sécurité. Celle-ci est simple : un message apparaît comme une vidéo de 30 secondes après manipulation de l’API de Telegram et permet aux pirates d’installer une application sur l’appareil de l’utilisateur. En réalité, la vidéo est un APK qui agit comme un virus après installation. La bonne nouvelle est que cet APK sous forme de fausse vidéo doit tout d’abord être lu et téléchargé, avant d’être installé sur l’appareil ayant ouvert la conversation. À moins d’avoir programmé un téléchargement et une installation automatique des applications, les utilisateurs doivent donc confirmer ces étapes avant leur exécution.
Problème résolu pour combien de temps ?
Pour corriger cette faille de sécurité, Telegram a publié le 11 juillet sa dernière mise à jour (v10.14.5). Aussi, pour être certain ne pas avoir été touché par l’attaque, les utilisateurs peuvent également lancer une procédure de scan des fichiers présents dans les dossiers suivants : « /storage/emulated/0/Telegram/Telegram Video/ » pour ce qui est du stockage interne, et « /storage//Telegram/Telegram Video/ » pour le stockage externe. Grâce à la mise à jour, les APK déguisés en photos ou vidéos s’afficheront directement comme des applications téléchargeables. Néanmoins, les pirates et hackeurs se démotivent rarement et regorgent toujours d’idées farfelues pour exploiter des failles de sécurité.
Passionné par la technologie, j'ai accumulé plus de 20 ans d'expérience dans la tech. De formation ingénieur en informatique, mon parcours professionnel m'a permis de maîtriser diverses facettes du secteur, des infrastructures aux logiciels. Mon engagement et ma curiosité constante me permettent de rester à la pointe des innovations technologiques.
