Telegram peut exposer la position exacte, sous certaines conditions
Le 06 janvier 2021 à 09h10
2 min
Logiciel
Logiciel
C’est la découverte du chercheur Ahmed Hassan. Le problème réside dans la fonction « Personnes à proximité », que l’on trouve en haut de la section Contacts.
Cette fonction permet, une fois active, d’afficher les utilisateurs de Telegram proches. À travers l’application, il est impossible de savoir où sont ces personnes, car elle ne les pointe pas sur une carte. Elle affiche seulement une liste de contacts avec une distance relative.
Cependant, l’application reçoit bien la position de l’utilisateur, même si elle ne la diffuse pas. Le chercheur a donc montré qu’avec un appareil Android rooté et quelques outils, on pouvait afficher de fausses positions pour forcer Telegram à mettre à jour les distances. On peut alors obtenir la position de la personne visée par triangulation.
« La plupart des utilisateurs ne comprennent pas qu’ils partagent leur position, et potentiellement l’adresse de leur domicile. Si une femme utilise cette fonction pour discuter dans un groupe local, elle peut être harcelée par des utilisateurs indésirables », explique Hassan.
Le chercheur a envoyé les détails de sa trouvaille et une vidéo de démonstration à Telegram. L’équipe n’a pas vraiment réagi, notant seulement qu’obtenir la position géographique exacte est possible « sous certaines conditions », mais signalant surtout que la fameuse fonction n’est pas activée par défaut.
Pourtant, comme le note Ars Technica, corriger le problème n’est guère complexe. Lorsque Tinder avait rencontré des problèmes similaires, l’application avait simplement arrondi toutes les distances à l’unité supérieure.
Il est à noter également que les possesseurs d’iPhone sont potentiellement moins exposés que ceux sous Android dans ce domaine. Depuis iOS 14, un réglage permet en effet, pour chaque application, de choisir si l’on envoie la position exacte ou pas.
Le 06 janvier 2021 à 09h10
Commentaires (12)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 06/01/2021 à 10h01
A propos des logiciels de messagerie.
La nouvelle politique de protection de la vie privée d’Apple oblige les développeurs iOS a spécifier les données personnelles collectées par leur application.
Signal –> 0,
Apple iMessage –> 4,
Facebook WhatsApp –> 25
Facebook Messenger –> j’ai pas compté, il y en a trop…
https://pbs.twimg.com/media/Eq7SAXRXAAIgHHh?format=jpg&name=4096x4096
article Forbes https://www.forbes.com/sites/zakdoffman/2021/01/03/whatsapp-beaten-by-apples-new-imessage-update-for-iphone-users/
Le 06/01/2021 à 11h13
On avait déjà eu un bon aperçu de cette situation avec l’outil Exodus mais ça ne concerne que les applications Android.
Et puis, Google n’a pas suivi la même voie qu’Apple concernant le Play Store.
Pour ma part j’utilise l’application Aurora, alternative au Play Store qui indique ce genre d’information en s’appuyant justement sur les données d’Exodus.
Le 06/01/2021 à 13h18
Et combien pour Telegram justement par curiosité ?
Merci, je ne connaissais pas ! Apparemment un fork de Yalp, tu confirmes ?
Le 06/01/2021 à 14h35
4, Name, Phone number, Contacts, User ID
https://www.gadgetsnow.com/tech-news/the-amount-of-data-collected-by-whatsapp-signal-facebook-messenger-and-imessage/articleshow/80128023.cms
Ce sont des données qui me semblent nécessaire au fonctionnement de l’application et je ne crois pas qu’ils les utilisent pour autre chose (mais je ne conseille quand même pas l’utilisation de Telegram)
Le 06/01/2021 à 14h38
Je viens de vérifier sur ipad : Telegram = 3 (contact info,identifiers,contacts)
Edit: le temps de vérifier, réponse de misocard ;)
Le 07/01/2021 à 13h08
C’était le cas pendant un moment et à partir de la 3.0, l’app a été réécrite complètement.
Voir ici : GitHub
C’est un peu mieux que Whatsapp mais il y a encore des manques non négligeables : la partie serveur reste propriétaire, les conversations de groupe ne sont pas chiffrées ainsi que la version Desktop.
La fiabilité du chiffrement a été également remise en cause.
Je n’ai plus tous les liens sous la main mais voici quelques éléments :
GitHubIl y a aussi une série de Tweets d’Evan Sultanik (chercheur en sécu informatique) Twitter
Le 06/01/2021 à 14h50
J’ai mal compté.
Misocard à raison Telegram –> 4
Le 06/01/2021 à 15h23
Pourquoi ?
Question sincère hein, mais j’utilise Telegram parce que
Je sais que Telegram est pas aussi parfait qu’on ne le voudrait mais pour moi c’est le bon compromis actuellement entre “je pompe toute ta vie privée pour faire de la pub” et “je suis aussi blindé et austère qu’un tank”.
Si tu as des infos qui invalident mon jugement, ça m’intéresse.
Le 07/01/2021 à 08h34
Perso j’ai découvert Keybase il n’y a pas très longtemps.
C’est un peu plus complet qu’une simple messagerie (il gère aussi le chiffrement des communications avec des outils Claude ou le partage de fichiers par ex) mais c’est relativement accessible.
La seule contrainte niveau installation est qu’ils préconisent de multiplier les instances car le profil est lié à l’appareil. Donc en gros il suffit d’installer sur PC, smartphone, et lui faire générer en troisième élément une clé de recouvrement imprimable.
Le 07/01/2021 à 09h00
Je précise avant tout que je peux faire des erreurs, ce sont des infos que j’ai trouvées il y a plus de 2 ans et qui ont peut être changé entre temps et que je n’ai jamais utilisé Signal (qui est l’application que je conseillerai si je devais en conseiller une).
Telegram appartient à un milliardaire (Pavel Durov) et c’est lui qui injecte les fonds nécessaire au fonctionnement de l’application. J’ai un peu de mal à croire en cette générosité, même si dans ce cas c’est peut être vrai.
Telegram ne chiffre pas de bout en bout, sauf si on utilise les messages secrets. On peut partir du principe qu’il est possible de lire le contenu du message si on accès au serveur (c’est pour ça que je précise qui est propriétaire de l’application).
Quand j’ai fait mes recherches il n’y avait pas eu d’audit indépendant du chiffrage. Durov assure que le chiffrage est très bon, mais il n’y a pas d’autre solution que de lui faire confiance.
Plus récemment j’ai lu que Durov avait l’intention de rendre l’application rentable (mais via un système de paiement, pas de vente d’information).
Du coup je ne conseille pas l’application car ça m’ennuie de devoir faire confiance à une personne, après ce n’est pas forcément un mauvais choix si on utilise les conversations secrètes
Le 07/01/2021 à 09h49
Je vais retester Signal, elle représente mon idéal personnel de toutes manières. Mais le problème des applis de messagerie c’est que tu dois faire un compromis entre ton idéal personnel et l’effort parfois démotivant de faire migrer tes proches. Si j’avais les pleins pouvoirs, ça ferait un moment qu’XMPP serait le standard mondial de messagerie.
Tu as raison, mais il faut être cohérent avec ton utilisation : j’utilise Telegram pour envoyer des photos du petit à ma famille. Dans ce contexte, j’ai confiance en Telegram pour ne pas violer ma vie privée pour faire du fric. Niveau chiffrement ce n’est de toutes façons pas pire que les SMS, que Telegram a remplacé chez moi.
Je comprend.
Le 07/01/2021 à 20h24
J’apporte une correction à mon premier message dans ce fil (https://www.nextinpact.com/article/45309/telegram-peut-exposer-position-exacte-sous-certaines-conditions#comment/1846438)
Alors qu’il est question des données collectées spécifiées par l’App Store, je parle d’Exodus. Mais Exodus (à ma connaissance) ne donne pas ce type d’info, il indique les pisteurs intégrés dans chaque application (android). C’est tout aussi utile mais ce n’est pas la même donnée.