La version Desktop de Telegram a le même problème que celle de Signal : les conversations et médias échangés sont stockés en clair sur le disque local de l’ordinateur. Il est en outre très simple de les retrouver.
On doit la découverte à l’étudiant Nathaniel Suchy. Les informations ne sont pas aussi simples à lire que pour Signal, sans présenter de vraie difficulté non plus. Elles sont stockées dans une base SQLite et ne sont pas chiffrées.
Telegram propose une protection par mot de passe pour son application de bureau, mais elle n’affecte en rien le stockage local. Si un utilisateur malintentionné parvient à y accéder, il pourra extraire les contacts, leurs numéros, les conversations et le reste. Les photos, vidéos, documents et autres ne sont que masqués, et il suffit de changer leur extension pour les lire.
L’approche de Telegram pour la sécurité locale est donc la même que pour Signal : si l’utilisateur souhaite un chiffrement, il doit l’activer pour sa partition ou son disque à l’aide d’outils fournis par le système (BitLocker pour Windows, FileVault pour macOS, etc.) ou tiers, comme VeraCrypt.
Commentaires (4)
#1
Attention concernant le premier article que vous citez. Les commentaires de l’article mettent en lumière que cela ne concerne que l’application MacOS apparemment.
Même l’auteur de l’article l’a précisé sur Twitter.
D’après un commentaire, les données sont sont bien chiffrées sur Windows & Linux (à prendre avec des pincettes, j’ai pas vérifié)
#2
une comparaison avec Wire qui est le seul concurrent sérieux de signal ?
#3
Wire ne chiffre pas les données stockées localement en version desktop (voir le security whitepaper).
à noter que sur les terminaux mobiles, et contrairement à Signal qui chiffre les données localement quand on paramètre une phrase de passe, Wire ne chiffre pas les données stockées localement, considérant que le chiffrement complet des terminaux ainsi que le sandboxing sur iOS et les permissions sur Android sont des mesures suffisantes.
Or un mobile on se balade avec un peu partout (et allumé), alors qu’un PC à priori on peut s’en passer voire l’éteindre si on considère qu’il y a un risque de compromission du terminal (avec un chiffrement intégral ça va de soi).
#4
Ouep, cela ne concernerait que l’application native (version Swift) pour macOS “Telegram” (https://macos.telegram.org/) et pas l’application “Telegram Desktop” disponible pour Win/Linux/macOS (https://desktop.telegram.org/). Bon après c’est aussi une application officielle.
Sur Telegram Desktop, les fichiers et vidéos échangés (une fois lu/ouvert) sont par contre aussi stockés en clair. Cela ne concerne pas les images.