Connexion
Abonnez-vous

La France et l’émirat de Dubaï avaient piraté l’iPhone de Pavel Durov avant de le naturaliser

Le 28 août à 15h10

Le Wall Street Journal révèle que lors d'un déjeuner qui n'avait jusqu'alors jamais été rendu public, Emmanuel Macron avait invité Pavel Durov, en 2018, à déménager Telegram à Paris. La messagerie venait, l'année précédente, d'installer son siège social à Dubaï, capitale de l'un des sept Émirats arabes unis et Durov en a également fait son principal lieu de résidence. Il a donc refusé l'offre du président français.

Les sources du WSJ révèlent aussi et surtout que, cette même année 2017, une opération conjointe entre les services de renseignement français et des Émirats arabes unis (nom de code « Purple Music ») leur avaient permis de pirater l'iPhone de Pavel Durov :

« Les responsables français de la sécurité étaient très préoccupés par l'utilisation de Telegram par l'État islamique pour recruter des agents et planifier des attaques. Les gouvernements ont ciblé M. Durov en raison des groupes attirés par son application, qui vont des manifestants pro-démocratie et des dissidents aux militants islamistes, aux trafiquants de drogue et aux cybercriminels. »

Un ancien responsable du renseignement français de la DGSI a précisé au WSJ que la compromission de Telegram avait été « un effort à long terme des services d'espionnage du pays ».

Or, la France et les Émirats arabes unis ont depuis accordé, tous deux en 2021, la citoyenneté à Pavel Durov, et le pays du Golfe a aussi investi plus de 75 millions de dollars dans sa plateforme cette année-là.

Durov, qui a aussi obtenu la nationalité de Saint-Kitts-et-Nevis, une île des Caraïbes qui l'offre à ceux qui peuvent la payer, s'était en outre installé, ainsi que le siège social de Telegram, à Dubaï, la capitale des Émirats arabes unis.

Les appels vocaux de Telegram, comme ceux de la plupart des applications d'appel sur Internet, sont pourtant bloqués aux Émirats arabes unis, où les libertés politiques sont « fortement réduites, et qui considèrent les appels chiffrés comme un risque pour la sécurité », souligne le WSJ.

Une personne proche de Durov explique par ailleurs au quotidien états-unien que pendant des années, Telegram avait ignoré les citations à comparaître et les ordonnances judiciaires qui lui étaient adressées, et qui « s'accumulaient dans une boîte aux lettres électronique rarement vérifiée ».

Telegram affirme depuis qu'elle se conforme désormais au Digital Services Act européen, qui exige que les sociétés en ligne coopèrent avec les autorités pour lutter contre la diffusion de contenus illégaux sur leurs plates-formes.

Durov, qui s'est également rendu plusieurs fois aux États-Unis, avait expliqué à l'ancien animateur de Fox News Tucker Carlson qu'il y était toujours accueilli par des agents du FBI, qui tentaient d'obtenir sa coopération : « j'ai cru comprendre qu'ils voulaient établir une relation pour, d'une certaine manière, mieux contrôler Telegram », avait-il précisé.

Le 28 août à 15h10

Commentaires (28)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
pourquoi s'en seraient-ils privés?

quand on voit la dose mise sur kim dotcom pour du piratage et atteinte au droit d'auteur, de la dose sur coco.fr pour ce que l'on sait tous..

telegram, chantre des stups, armes, terrorisme et que sais-je encore, qui resterait un paradis de l'illicite? Soyons sérieux quelques minutes...
votre avatar
C'est entre autre pour ce genre de raison que Telegram aurait du être chiffré de bout en bout par défaut.

Considérant que son iPhone perso a été compromis, qui sait jusqu'où les services secrets ont pu aller dans la compromission des communications sur Telegram (non chiffrés par défaut, donc accessibles par Telegram et tous ceux qui peuvent faire pression sur eux ou les compromettre).

Sans parler du fait que par ailleurs, toute sa famille vit en Russie, son frère avec qui il avait créé VKontakte travaille en Russie à l'Institut de mathématiques Steklov (institut publique Russe), qu'il a voyagé 50 fois en Russie depuis son "exil" à Dubai, et qu'après un revirement de situation soudain et inexpliqué, le gouvernement Russe s'est mis à encourager l'utilisation de Télégram, utilisé massivement par les militaires russes entre autre. Donc probablement sous surveillance des services russes en plus d'une possible compromission par les occidentaux/EAU.

Une des raisons du chiffrement de bout en bout est de ne pas donner aux gouvernement de bâton pour se faire battre.
votre avatar
Non chiffré et accessible par Telegram sont 2 choses totalement différentes !!

Tu penses que toutes les conversations sont envoyées en ASCII plain text sans doute ?

100% des conversations Telegram sont chiffrées.

1 - Pour les conversations classiques et les groupes, Telegram utilise leurs clés pour chiffrer/ déchiffrer. Apparemment ces clés seraient scindées en 4-5 morceaux, chaque morceau sur un serveur différent, chacun des serveurs dans un pays différent, pour justement résister à la pression d'États qui exigeraient les clés... Beaucoup plus difficile à obtenir.

2 - Les messages secrets sont du E2E avec une clé en local sur les 2 appareils qui discutent. Telegram ne connait pas cette clé unique et temporaire.

Et à tous ceux qui hurlent : "ce n'est pas du E2E par défaut" (mais chiffré). Déjà est-ce que le contenu de leurs conversations intéresse vraiment quelqu'un ?

Et donc ils doivent aussi sûrement chiffrer avant tous les documents qu'ils upload sur Google Drive, Apple iCloud, Microsoft Onedrive, Dropbox... car ceux là utilisent leur propres clés pour chiffrer et ont donc accès à tout le contenu en clair de ce qu'il y a d'hébergé sur leurs serveurs...

Alors ça me vraiment rire les critiques sur

"Telegram n'est pas chiffré" (ce qui est FAUX en plus).

Et ici c'est Apple le responsable, pas Telegram.
votre avatar
Sans E2E, le serveur (donc l'entreprise) est forcément capable, d'une façon ou d'une autre, d'avoir accès en clair aux messages.
Donc non, on ne peut pas vraiment dire que ce soit chiffré, ou alors on peut dire que toute notre navigation internet est chiffrée parce que l'immense majorité des sites utilisent HTTPS...
votre avatar
C'est EXACTEMENT ce que j'ai écrit !! C’est grave à ce niveau de compréhension de rien comprendre.
Enfin bon, en lisant "Donc non, on ne peut pas vraiment dire que ce soit chiffré", j'ai tout de suite compris que ca allait être compliqué à faire comprendre juste les bases...

Mais sérieusement tu ne le fais pas exprès ici ??

Comme tu le mentionnes il y a le HTTP et le HTTPS.

Donc je répète encore une fois : Oui pour les messages classiques, Telegram utilise sa propre clé de chiffrement donc les messages sont chiffrés, t’as compris jusqu’ici ?

1 - Donc Utilisateur 1 >> Telegram >> Utilisateur 2 . Tu as entendu parler de l’attaque « Man in The Middle » ? Mais i ci les messages sont chiffrées par Telegram.

Tout comme tout ce que tu peux uploader sur Google Drive, Microsoft OneDrive, Apple iCloud, Dropbox est aussi chiffré avec des clés que possèdent ces prestataires. Et donc peuvent tout déchiffrer s’ils en reçoivent l’ordre.

2 - Les Messages secrets, eux sont chiffrés avec une clé exclusive aux 2 utilisateurs, temporaire et totalement inconnue de Telegram.

Donc on résume encore une fois si vraiment tu n’avais toujours pas compris (mais à ce niveau, c’est grave) :

1 – TOUS – 100% des échanges sur Telegram sont chiffrés par mesure de sécurité pour ne pas pouvoir être interceptés et lus par une tierce partie.

2 – Les messages “Classique” sont chiffrés par une clé Telegram, néanmoins clé scindée sur plusieurs serveurs, chaque serveur dans un pays diffèrent.

3 – Les messages « secrets » sont chiffrées par une clé locale générée à partir de différents éléments du hardware des 2 correspondants.

Soit il faut apprendre à lire ou à chercher avant de commenter n’importe quoi dans le vide. Ça saoule grave. C’est quand même pas si compliquer à comprendre non ??? Tu le fais exprès ou quoi?

Tiens, lis donc d’abord ça et essaye un minimum d’y comprendre quelque chose…
Et sinon aussi tes conversations sur Telegram, elles sont vraiment tellement si importantes que ça?

End-to-End Encryption, Secret Chats

MTProto Mobile Protocol\

Ton commentaire hors sol, il saoule vraiment grave ! et une petite pensée au 1 pouce levé de l'autre gars, qui lui non plus n'a apparemment pas compris grand chose aussi... ça fait une belle paire de co... finalement...
.:mdr2::smack:
votre avatar
Alors je comprends que tu sois énervé, mais pour le coup je crois avoir une bonne compréhension de ce que tu as écris précédemment, et de ton message, et des principes généraux du chiffrement.

Oui, les communications (ou transferts de données) dans Telegram sont chiffrée. Mais c'est le cas de TOUS les systèmes de messagerie actuels. Même du temps de MSN, on avait la possibilité de chiffrer les échanges (merci MSN+) !
CEPENDANT, quand on dit qu'une messagerie est chiffrée, le quidam moyen va plutôt penser que personne d'autre que le(s) destinataires ne peu(ven) lire son message.
Il y a donc une différence entre ce que veut dire techniquement "les conversations sont chiffrées" et ce qu'en comprend le grand public. Or, pour paraphraser Flèche, si tout le monde est "chiffré" (dans le transfert de données), "autrement dit, personne ne l'est".

Dit autrement : la partie chiffrement des transferts de données est non pertinente et peut être ignorée dans le cadre d'une messagerie, car c'est juste une fonction de base.
Pour moi, ça revient à dire qu'une lettre est "sécurisée" si on la met dans une enveloppe en papier. C'est pas faux dans le sens où il faut ouvrir l'enveloppe pour lire le contenu de la lettre, mais c'est pas ce que j'appellerai une lettre "sécurisée", puisque c'est la norme et que je m'attend donc à plus de sécurité de la part d'une lettre qu'on me vendrait comme sécurisée.


Mon point de vue est-il plus clair pour toi ?

:inpactitude2:
votre avatar
Merci, j'allais dire essentiellement la même chose.

Telegram est bel et bien en mesure d'accéder aux communications des utilisateurs en clair, en "ASCII plain text". Eux et n'importe qui pouvant faire pression sur eux ou les ayant compromi.

Il faut le répéter haut et fort car la légende comme quoi Telegram est chiffré à la vie dure.

L'histoire (douteuse) des 5 morceaux de clés n'empêche pas que le serveur qui va supposément chiffrer les messages voit le message en clair. Idem pour le serveur qui envoie le message au destinataire. Idem pour le serveur qui envoie l'historique des messages lors de la synchronisation d'un nouvel appareil.

Il y a un mode E2E avec leur crypto maison propriétaire (difficile de juger de sa qualité) mais il n'existe aucun moyen de l'activer par défaut alors que chez presque tous les concurrents il est au contraire impossible de désactiver le E2E.

Il est bien plus sécurisé d'utiliser Whatsapp ou iMessage (avec backup cloud désactivé) ou même Facebook Messenger qui implémente aujourd'hui le E2E multi-appareil avec chiffrement de l'historique côté serveur par code PIN connu uniquement par l'utilisateur.
votre avatar
Creuse un peu le sujet avant de commenter stp.... Merci.
votre avatar
"Il est bien plus sécurisé d'utiliser Whatsapp ou iMessage (avec backup cloud désactivé) ou même Facebook Messenger :"

Sources, preuves, arguments?

Le E2E de WhatsApp vs le E2E de iMessage vs le E2E de Messenger vs le E2E de Telegram ?

T'as une thèse à nous montrer sur le sujet ?
Sinon pour les 3eres, elles sont basées aux US et les US ont des lois très très coercitives avec tribunaux secrets / juges secrets / jugements secrets pour forcer ces sociétés à coopérer...

alors qu'on n'a rien à batt... de citoyens des EAU qui auraient des problèmes avec leur gouvernement aux EAU donc si les EAU veulent forcer Telegram pour révéler l'identité d'opposants aux EAU, on s'en tape...

et les EAU n'en surement rien à battre aussi de citoyens US ou Français qui auraient violé des lois de leur pays respectif...
votre avatar
La différence est que le E2E de Télégram n'est pas activé par défaut et ne peut pas l'être, alors que pour les concurrents mentionnés, il est activé par défaut et ne peut pas être désactivé, tout simplement.

Mais tu as raison sur le fait que effectivement, le serveur Telegram n'a pas simplement accès aux messages en clair ce que mon commentaire précédent affirmait à tort. :chinois:

Ça n'empêche pas qu' ils ont la possibilité d'accéder à ces messages. Ce qui est un problème et donne un pouvoir (et une vulnérabilité) problématique aux dirigeants de Télégram. Pas besoin d' aller chercher les clés dans 5 pays, il suffit d'avoir le bon levier de pression sur un des dirigeants.
votre avatar
Concernant Signal, par rapport à Telegram, elle a pour elle d'être :
- chiffrée E2E pour TOUT
- gérée par une organisation à but non lucratif (donc qui ne souhaite pas faire de l'argent, ce qui change beaucoup de choses dans la façon de gérer la messagerie)
- Signal a mis en place un système permettant de ne pas connaître ton carnet d'adresses
- a une vision "privacy first" qui se retrouve jusque dans leur façon de gérer la fonctionnalité de GIF pour que GIFfy ne sache pas qui recherche quel GIF

Il reste possible pour un Etat d'identifier un utilisateur de Signal grâce à son adresse IP, mais s'attaquer à l'organisation gérant Signal n'a pas d'intérêt vu qu'elle ne sait presque rien de ses utilisateurs.




Après, pour ce qui est de tes "ils n'en ont rien à battre" : d'une, c'est une croyance de ta part (elle peut être vraie comme fausse) ; de deux, penses-tu que ça sera toujours le cas dans quelques années, quand il sera possible de faire un profil psychologique de chacun grâce à toutes les données agrégées et une analyse via l'IA ?
À ton avis, si un régime nazi prenait place en France, penses-tu qu'il en aurait "rien à battre" de tes échanges sur les réseaux sociaux ? Penses-tu qu'il soit impossible qu'un tel régime revienne en France ?
votre avatar
Un point que j'arrive pas trop à comprendre:

Si , dans le cas d'un échange pair à pair il reste "relativement" simple d'établir un chiffrement sûr et connu que des 2 parties - par exemple en confirmant via un autre canal un code pin ou autre suite d'image, ou un qrcode comme le fait threema,

comment faire pour qu'un groupe de personne puisse échanger de manière fiable sans pour autant que le serveur ne puisse écouter tous les échanges, soit directement soit en introduisant un "bot" qui se comporterais comme l'un des membre du groupe (et aurait donc accès à tous les messages en clair) ? Et ce sans alourdir la procédure pour se rajouter au groupe (dans le cas supposé où les gens du groupe ne se connaissent pas physiquement et n'ont pas d'autres moyens d'échanger un secret)
votre avatar
J'ai tendance à dire : rien. C'est pour ça que le fait que Signal soit libre est un gros avantage par rapport à WhatsApp.
Rien ne dit que l'app WhatsApp n'envoie pas discretoss des infos à son papa en lisant les messages directement déchiffrés sur l'appareil.

Après, pour les groupes, il "suffit" de partager une clé commune entre tous les membres du groupe, via un échange préalable de la clé entre l'un des membres et un "invité".
votre avatar
Ce que fait la messagerie Element par exemple :
- un participant à un groupe transmet ses clés de chiffrement de SES messages à tous les autres membres du groupe par un canal DIRECT (d'appareil à appareil)
- quand il poste un message (qui sera chiffré par une de ses clés), il poste (le message + l'index de clé utilisée pour le chiffrement) sur le serveur qui dispatchera ce couple d'information

Les clés n'ont jamais transité par le serveur qui n'en n'a pas connaissance.

Pour plus de sécurité, il faut renouveler régulièrement le lot de clés de chacun :
- quand le lot de clés est consommé
- quand un utilisateur quitte le groupe (pour qu'il ne puisse pas déchiffrer les messages suivants)
- au bout d'un certains temps

C'est le 'double ratchet' (bloquer le déchiffrement des messages précédents et suivants) : en cas d'accès aux clés d'un utilisateur à un moment donné, l'écouteur ne pourra avoir accès qu'à une partie des message (le renouvellement de clés définit la largeur de cette fenêtre d'accès).

Le 'double ratchet" est la base du chiffrement de Signal aussi (et des autres clients de messagerie se basant sur le protocole Signal).
votre avatar
Super !
:merci:

J'ai déjà constaté le comportement décrit sur Element , qui te dis parfois que les messages sont indéchiffrable, et même parfois ceux que j'ai moi-même envoyé (mais avec une autre instance).

:inpactitude:
votre avatar
Dans un usage multi-devices sur un compte, c'est souvent lié à une desynchro des clés de signature croisée (cross-signed).
Si tu as activé la "sauvegarde des messages" (en fait la sauvegarde chiffrée des clés de chiffrement des messages), tu peux alors :
- régénérer la signature croisée depuis le device ayant accès au plus grand nombre de messages
- puis régénérer une "recovery key" depuis ce device automatiquement vérifié

Cela redonnera accès à la sauvegarde des clés de chiffrement à chaque device qui se vérifiera à nouveau contre le device ayant régénéré le cross-signing, et permettra le déchiffrement des messages.
votre avatar
L'appli Whatsapp n'étant pas opensource, qu'est-ce qui te fait dire que Meta ne lit pas les messages directement depuis ton device ?
votre avatar
Note: Dubaï n'est pas la capitale des Émirats Arabes Unis (c'est Abou Dabi)
votre avatar
Mais elle est bien la capitale de l'un des sept EAU ;-)
votre avatar
Oh ? Un leak du nouveau directeur de la publication ? :bravo:
votre avatar
bien vu, et ça pourrait bien coller avec sa dernière publication LinkedIn :bravo:
votre avatar
ah ouais, ça ressemble :byebye:
votre avatar
Habile :o)
votre avatar
certes, et c'est bien ce qui est mentionné dans le 1er paragraphe, mais la mention dans le 6ème est toujours inexacte :-)
votre avatar
La France et l’émirat de Dubaï avaient piraté l’iPhone de Pavel Durov avant de le naturaliser
Marrant, mais en lisant les titres j'avais cru lire au début "neutraliser". :transpi:
votre avatar
Pareil. :-/
votre avatar
Je te rassure, j'ai lu pareil :roll:
votre avatar
Oh, un article court de M. Manach :D

Ça fait combien d'années que les gens qui arrivent à conquérir l'État français (facile avec un suffrage universel et des partis et médias serviles) pratiquent le baiser de la mort ? Soutien à toutes les victimes de cette mafia, quels qu'en soient les motifs affichés (oui évidemment il faut lutter contre les pédocriminels, aucun rapport, il y a largement matière sans toucher au secret des correspondances ou à la liberté d'expression et d'information).

La France et l’émirat de Dubaï avaient piraté l’iPhone de Pavel Durov avant de le naturaliser

Fermer