La version Android de Telegram laisse échapper quelques métadonnées qui pourraient être utilisées par une personne malintentionnée pour récupérer des informations sur le statut de présence, ou même pour savoir qui parle avec qui. Il ne s’agit pas d’un danger immense, mais la solution est dans tous les cas très simple.
L’application de messagerie Telegram est disponible sur de nombreuses plateformes, dont Android, iOS, Windows Phone, Windows et OS X, en plus d’exister sous forme d’extension pour plusieurs navigateurs. Elle ne demande pas de créer de compte et fonctionne à la manière d’un WhatsApp ou d’un Viber : c’est le numéro de téléphone qui assure l’identification. De fait, comme chez les applications concurrentes, elle demande l’accès aux contacts et indique immédiatement ceux qui sont déjà sur Telegram.
Ce genre de service propose très souvent un témoin de présence, accompagné d’une information sur le temps depuis la dernière connexion. Même ceux qui n’utilisent pas Telegram voient cette information dans WhatsApp ou même dans Messenger de Facebook. Afficher sa dernière connexion est un réglage actif par défaut que l’on peut couper, mais qui ne donne finalement qu’une information dont on se passe aisément. Et sur la version Android de Telegram, elle peut éventuellement être détournée pour savoir avec qui l’utilisateur discute.
Métadonnées pour personnes malintentionnées
Pour quelqu’un de motivé, la méthode n’est guère complexe. Le développeur Ola Flisbäck a d’abord été surpris de la quantité de métadonnées qu’il recevait de la part de ses contacts Telegram. Il s’est rendu compte que l’application Android émet un signal chaque fois qu’elle arrive ou repart du premier plan. Les contacts sont ainsi informés de la présence de l’utilisateur ou de sa dernière connexion. Mais Telegram ne réclame pas de confirmation de la part d’une autre personne si elle vous ajoute dans son carnet d’adresses. Elle peut donc voir quand vous êtes en ligne ou pas.
Selon le développeur, à l’aide d’un outil particulier, il est possible d’analyser les métadonnées émises par Telegram. On y trouve toutes les informations sur les contacts qui se sont connectés, avec les dates et les heures. Un horodatage complet qui, en recoupant les informations de la bonne manière, permet de deviner avec qui un utilisateur a parlé. Plus la victime a de contacts communs avec l’utilisateur mentionné, plus la méthode est efficace.
Mais on ne pourra dans tous les cas pas aller plus loin que cette information. Il s’agit de données périphériques inhérentes au fonctionnement de Telegram, et il n’est pas possible de récupérer le contenu des conversations en lui-même. Même si on reste dans un cas de « piratage » à proprement parler, techniquement on devrait parler de « stalking », c’est-à-dire d’une traque de quelqu’un pour espionner ses faits et gestes.
Garder la visibilité du statut pour les contacts uniquement
D’autant que la solution est simple et est commune à tous les clients Telegram existants. L’éditeur a en effet répondu à The Next Web : « Sur Telegram, vous pouvez contrôler précisément qui peut accéder à vos statuts en ligne et de dernière activité. Les paramètres de sécurité opèrent au niveau de l’API, l’application que vous utilisez n’a donc aucune importante, qu’elle soit officielle ou non. Si vous ne partagez pas vos données, elles ne sont pas accessibles ». Une précision utile, car l’API de Telegram est publique et a permis la création d’applications tierces.
Finalement, si vous ne souhaitez pas que l’information de présence soit accessible au premier venu, il suffit de plonger dans les options et de se rendre dans « Privacy and Security ». On sélectionne alors « Last seen » et trois réglages s’offrent alors : tout le monde (par défaut), les contacts uniquement et personne. En sélectionnant les contacts, seuls ceux qui sont effectivement dans votre carnet d’adresses pourront voir votre statut. Si on sélectionne « personne », le statut est désactivé. Notez que deux réglages plus bas permettent de bloquer ou d’autoriser des contacts spécifiques en prenant le pas sur le paramètre défini plus haut.
Commentaires (6)
#1
“Ce genre de service propose très souvent un témoin de présence, accompagné d’une information sur le temps depuis la dernière connexion. ” c’est une des raisons qui m’ont fais quitter Whatsapp et encensé bbm avec le système de pin.
#2
un bon article pour apprendre a nos djihadistes en herbe a mieux se planquer….
#3
Ne t’en fais pas tu n’as pas encore vu d’article parler de ToR ;) tu vas commencer à flipper et à croire que ton voisin veut faire la guerre contre les états du nord avec ça dans ses mains " />
#4
il parait meme qu’on vend des cutter et couteaux en magasin " />
#5
Peut-on le désactiver depuis la version desktop ?
#6
Un scandale ! Il faut interdire le choix dans les magasins et faire en sorte que tout le monde achète la même chose au nom de la sécurité et de l’égalité ! Par contre pas pour les riches, ils donnent plein d’argent à l’Etat ce serait dommage de les pénaliser.