L’application de messagerie populaire Telegram a corrigé un bogue de protection de la vie privée dans son application macOS qui permettait d’accéder aux messages audio et vidéo autodestructeurs longtemps après leur disparition des discussions secrètes.
La vulnérabilité était découvert par le chercheur en sécurité Dhiraj Mishra dans la version 7.3 de l’application, qui a divulgué ses conclusions à Telegram le 26 décembre 2020. Le problème a depuis été résolu en version 7.4, sorti le 29 janvier.
Contrairement à Signal ou WhatsApp, les conversations sur Telegram par défaut ne sont pas chiffrées de bout en bout, sauf si les utilisateurs choisissent explicitement d’activer une fonctionnalité spécifique à l’appareil appelée « chat secret, « qui garde les données chiffrées même sur les serveurs Telegram. Également disponible dans le cadre des discussions secrètes est l’option d’envoyer des messages autodestructeurs.
Ce que Mishra a découvert, c’est que lorsqu’un utilisateur enregistre et envoie un message audio ou vidéo via une discussion régulière, l’application a divulgué le chemin exact où le message enregistré est stocké au format « .mp4 ». Lorsque l’option de conversation secrète est activée, les informations de chemin ne sont pas déversées, mais le message enregistré est toujours stocké au même emplacement.
De plus, même dans les cas où un utilisateur reçoit un message d’autodestruction dans une discussion secrète, le message multimédia reste accessible sur le système même après que le message a disparu de l’écran de discussion de l’application.
« Telegram dit que les chats » super secrets « ne laissent pas de traces, mais qu’il stocke la copie locale de ces messages sous un chemin personnalisé », a déclaré Mishra à The Hacker News.
Par ailleurs, Mishra a également identifié une deuxième vulnérabilité dans l’application macOS de Telegram qui stockait les codes d’accès locaux en texte clair dans un fichier JSON situé sous « / Users /
Mishra a reçu 3000 € pour avoir signalé les deux failles dans le cadre de son programme de bug bounty.
Telegram a franchi en janvier le cap des 500 millions d’utilisateurs mensuels actifs, en partie à cause d’une forte augmentation du nombre d’utilisateurs qui ont fui WhatsApp à la suite d’une révision de sa politique de confidentialité qui comprend le partage de certaines données avec sa société mère, Facebook.
Alors que le service offre un chiffrement client-serveur / serveur-client (à l’aide d’un protocole propriétaire nommé « MTProto« ) et également lorsque les messages sont stockés dans le cloud Telegram, il convient de garder à l’esprit que les discussions de groupe n’offrent pas de cryptage de bout en bout et que tous les historiques de discussion par défaut sont stockés sur ses serveurs. Cela permet de rendre les conversations facilement accessibles sur dispositifs.
« Donc, si vous êtes sur Telegram et que vous voulez un chat de groupe vraiment privé, vous n’avez pas de chance », Raphael Mimoun, fondateur de l’organisation à but non lucratif de sécurité numérique Horizontal mentionné le mois dernier.
