Alors que le monde des messageries est en pleine ébullition avec une concurrence acharnée, un acteur se distingue en axant toute sa communication sur la sécurité. La société Digital Fortress a en effet décidé de lancer un concours adressé aux experts en sécurité : 200 000 dollars de récompense à celui ou celle qui arrivera à déchiffrer les messages circulant via l’application Telegram.
Telegram est une application mobile méconnue. Disponible pour Android et iOS, elle se destine avant tout à ceux qui souhaitent la sécurité de leurs échanges. C’est du moins ainsi que l’application est mise en avant dans un marché des messageries particulièrement concurrentiel. Sur le site officiel, l’éditeur Digital Fortress n’hésite d’ailleurs pas à parler de WhatsApp et de ses failles de sécurité.
Pour faire parler de son application Telegram, l’entreprise lance un concours : la première personne qui parviendra à casser le chiffrement des échanges empochera les 200 000 dollars de la récompense. Une somme qui a largement de quoi en motiver plus d’un, d’autant que le prix n’est pas censé être partagé.
Le principe du concours est simple. Toutes les cinq secondes, sur le site officiel, le fondateur Pavel Durov publie un extrait d’une conversation avec son frère Nikolai. Les participants peuvent télécharger cet extrait ou l’ensemble du journal de trafic. Depuis ce téléchargement, ils pourront ensuite travailler sur le déchiffrage des données. Le vainqueur sera celui qui enverra l’intégralité du texte déchiffré à une adresse email qui est elle-même contenue dans chaque message chiffré. Une explication complète et détaillé de l’attaque devra en outre être fournie.
Un bon moyen donc d’attirer l’attention sur une application qui n’a été lancée qu’en août dernier. La somme avancée en dit long sur la confiance placée dans la protection des échanges, mais la sécurité informatique parfaite est un graal difficile à atteindre.
Ceux qui sont intéressés par ce concours pourront sur la page qui lui est consacrée sur le site officiel de Telegram.
Commentaires (76)
#1
la NSA n’as pas besoin de ces 200 000 $
Elle cassera le code juste pour le fun, mais n’enverra pas la soluce " />
#2
suffit de demander à la NSA
edit : Grilled par Barlav
#3
et la NSA a le droit de jouer?
edit : doubled grilled
#4
#5
@jpaul : bah, la c’est une niouze ou on parle de casser des cles de chiffrement, on est pas en HS tant que ca. Qui a des bons serveur avec une connaissance en crypto? Sinon dsl, elle etait facile.
#6
Le temps que j’allume mon PC quantique et à moi les 200 000 dollars ! " />
" />
#7
La somme avancée en dit long sur l’orgueil de DF
" />
#8
#9
#10
J’ai essayé en remplaçant toute les lettres par la lettre suivante dans l’alphabet, mais sans succès. La lettre précédente de fonctionne pas mieux.
Je commence à penser que le journal de mickey ne fournit pas de conseil fiable en matière de cryptanalyse.
#11
#12
[HS]J’aime beaucoup les conversations entre Edward Snowden, Sasha Grey et Julien Assange dans les captures d’écran. C’est un pur hasard, n’est-ce pas Vincent " /> ?[/HS]
#13
La meilleure solution dans ce genre de cas, c’est de prendre des algos déjà bien connu et pas cassé.
Le problème principal est alors l’échange de clé mais là aussi, il y a des solutions connues.
Au hasard : Diffie-Hellman + AES.
#14
Google doit avoir les moyens de le faire aussi.
#15
Pfff, z’êtes mauvais….
Pour trouver, suffit de copier/coller sur google trad, et hop !!
A moi le pognon !!!
" />
#16
#17
Ce qui me chiffonne dans une telle app, c’est pas la sécurité des echanges mais la gratuité de l’appli. Hors on sait bien que quand une appli est gratuite, c’est nous la marchandise, non ? Ducoup ca met un sérieux bémol à la dite confidentialité des données…
#18
#19
#20
#21
#22
Attention une petite precision !
Telegram backer, Pavel Durov, will give [u]$200,000 in BTC[/u] to the first person to break the Telegram encrypted protocol
in Btc …> en Bitcoin
donc ceux qui n’ont pas d’adresse en Btc … " />
useless ?
#23
#24
200000\( != 200000\) en btc il serait bien de le préciser
#25
#26
#27
#28
Moi je peux casser leur sécurité avec la master key qu’ils sont obligés de donner à la NSA, vu que la société est américaine.
Tous ces trucs sont des pots de miel pour attirer ceux qui ont des choses à se reprocher.
Ne faites confiance à aucune société qui est établie dans un pays qui a des accords de libre-échange ou qui fait partie du dominion atlantiste : Etats-Unis, Qatar, Arabie Saoudite, Israël, France, Grande-Bretagne, Allemagne, Turquie et méfiez-vous des pays accomodants avec la liste précédente.
Si vous faites confiance à une société chinoise, elle lira vos données quand même, tout n’est jamais tout blanc ou tout noir, mais elle ne dispose pas (encore) des moyens des US pour s’en servir à des fins toute personnelles
#29
#30
Je le répète, toutes ces sociétés qui essayent de faire leur beurre sur la soi-disant “sécurité” et qui sont basées aux US sont des attrape-couillons.
S’ils ne DONNENT pas leur MASTER KEY, alors ils seront considérés comme hors-la-loi, tout comme la société qui hébergeait les mails de Snowden qui a préféré mettre la clé sous la porte plutôt que de collaborer.
#31
#32
Une dernière fois, il n’est pas possible, pour une société basée aux USA, d’échapper à la NSA, car ils sont OBLIGES de donner les CLES DE DECRYPTAGE.
Ce ne sont que des sociétés qui tentent par tous les moyens d’empêcher la fuite du transit par des chemins en dehors des Etats-Unis, de manière à permettre à la NSA de CONTINUER SES INTERCEPTION.
#33
Le seul moyen d’échapper à BIG BROTHER est d’avoir un traffic qui NE PASSE PAS par les Etats-Unis.
C’est précisément pour empêcher que ça se produise que fleurissent les sociétés AMERICAINES qui proposent soi-disant des mesures ultracryptées.
Les concours de décryptage avec des sommes folles à la clé ne sont là que pour faire avaler aux ignorants que c’est inviolable. (oui, c’est involable… sauf pour celui qui a les clés et qui se gardera bien de le dire…)
#34
#35
#36
Par contre, je veux bien le téléphone de Helen S." />
#37
#38
#39
Petite précision : il ne s’agit pas ici de “casser le chiffrement” de l’application, qui d’après un rapide coup d’œil dans les sources semble être ici AES, mais “the Telegram encrypted protocol”. C’est le protocole qui est mis à l’épreuve, pas le chiffrement en lui-même.
#40
#41
#42
#43
#44
#45
L’échange et la génération de clés peut très bien se faire au niveau client, et ce n’est heureusement pas illégal.
Pour le moment !
#46
#47
Pour être à peu près tranquille, il faut aujourd’hui envoyer son e-mail en utilisant un site d’anonymisation sur Tor. Prévoir également dans le chiffrement avec GPG que l’adresse et les références de la clé publique, et donc du destinataire, utilisés n’apparaissent pas dans les métadonnées (option -R).
#48
#49
#50
Du coup, vu que le code source est sous Gnu/GPL v2, une âme charitable pour dire quel algo est utilisé ? " />
#51
#52
#53
#54
#55
#56
#57
#58
#59
#60
#61
#62
#63
#64
#65
#66
Pour ceux que ça intéresse, l’article ici ne raconte qu’une partie de l’histoire. La première partie est ici http://unhandledexpression.com/2013/12/17/telegram-stand-back-we-know-maths/. Voir les commentaires pour la réponse de Telegram.
Résumé:
Il y a 2 jours ce blogueur s’est intéressé à la sécurité du protocole de Telegram. Sa conclusion, il ont fait ça en réinventant la roue, en moins bien que l’existant et avec certains choix pour le moins étranges.
Exemple: La clé AES dépends du message à chiffrer!
Du coup contre-attaque de Telegram qui propose ce prix. Évidemment les modalités du concours crypto sont biaisées. Le modèle d’attaque est passif, on a accès aux données chiffrées là où l’auteur du blog mettait en garde également contre le risque de MITM (attaque par le milieu), une attaque active.
Moralité: une bonne com permet de ne pas corriger les failles de votre appli….
#67
#68
#69
#70
#71
#72
#73
Il est du genre vaniteux et bosse sous Mac.
Il y a donc un début d’espoir.
ahma : en quelques secondes sur un premier calcul de bits, les clés ont l’air d’être du 30 bits.
Je l’ai déduis pas une première approche sur 15 bits, le bit restant sert probablement de parité.
Il couplerait donc (2x(15+1)). C’est un des truc de base pour faire chier en crypto mais c’est trop connu.
Pour le reste il ne reste plus qu’a isoler les algo connus compatibles avec ce mode (3DES, Twofish, Serpent), le tout encapsulé sur du RSA.
Puis calculer les clés mais bon, j’ai pas 400 ans devant moi.
" />
#74
la NSA n’a peut-être pas besoin de sous.
Mais la NSA, ce sont des hommes…
#75
#76