Connexion
Abonnez-vous

Telegram peut exposer la position exacte, sous certaines conditions

Telegram peut exposer la position exacte, sous certaines conditions

Le 06 janvier 2021 à 09h10

C’est la découverte du chercheur Ahmed Hassan. Le problème réside dans la fonction « Personnes à proximité », que l’on trouve en haut de la section Contacts.

Cette fonction permet, une fois active, d’afficher les utilisateurs de Telegram proches. À travers l’application, il est impossible de savoir où sont ces personnes, car elle ne les pointe pas sur une carte. Elle affiche seulement une liste de contacts avec une distance relative.

Cependant, l’application reçoit bien la position de l’utilisateur, même si elle ne la diffuse pas. Le chercheur a donc montré qu’avec un appareil Android rooté et quelques outils, on pouvait afficher de fausses positions pour forcer Telegram à mettre à jour les distances. On peut alors obtenir la position de la personne visée par triangulation.

« La plupart des utilisateurs ne comprennent pas qu’ils partagent leur position, et potentiellement l’adresse de leur domicile. Si une femme utilise cette fonction pour discuter dans un groupe local, elle peut être harcelée par des utilisateurs indésirables », explique Hassan.

Le chercheur a envoyé les détails de sa trouvaille et une vidéo de démonstration à Telegram. L’équipe n’a pas vraiment réagi, notant seulement qu’obtenir la position géographique exacte est possible « sous certaines conditions », mais signalant surtout que la fameuse fonction n’est pas activée par défaut.

Pourtant, comme le note Ars Technica, corriger le problème n’est guère complexe. Lorsque Tinder avait rencontré des problèmes similaires, l’application avait simplement arrondi toutes les distances à l’unité supérieure.

Il est à noter également que les possesseurs d’iPhone sont potentiellement moins exposés que ceux sous Android dans ce domaine. Depuis iOS 14, un réglage permet en effet, pour chaque application, de choisir si l’on envoie la position exacte ou pas.

Le 06 janvier 2021 à 09h10

Commentaires (12)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

A propos des logiciels de messagerie.
La nouvelle politique de protection de la vie privée d’Apple oblige les développeurs iOS a spécifier les données personnelles collectées par leur application.



Signal –> 0,
Apple iMessage –> 4,
Facebook WhatsApp –> 25
Facebook Messenger –> j’ai pas compté, il y en a trop…
https://pbs.twimg.com/media/Eq7SAXRXAAIgHHh?format=jpg&name=4096x4096



article Forbes https://www.forbes.com/sites/zakdoffman/2021/01/03/whatsapp-beaten-by-apples-new-imessage-update-for-iphone-users/

votre avatar

On avait déjà eu un bon aperçu de cette situation avec l’outil Exodus mais ça ne concerne que les applications Android.
Et puis, Google n’a pas suivi la même voie qu’Apple concernant le Play Store.



Pour ma part j’utilise l’application Aurora, alternative au Play Store qui indique ce genre d’information en s’appuyant justement sur les données d’Exodus.

votre avatar

Et combien pour Telegram justement par curiosité ?



Merci, je ne connaissais pas ! Apparemment un fork de Yalp, tu confirmes ?

votre avatar

4, Name, Phone number, Contacts, User ID
https://www.gadgetsnow.com/tech-news/the-amount-of-data-collected-by-whatsapp-signal-facebook-messenger-and-imessage/articleshow/80128023.cms



Ce sont des données qui me semblent nécessaire au fonctionnement de l’application et je ne crois pas qu’ils les utilisent pour autre chose (mais je ne conseille quand même pas l’utilisation de Telegram)

votre avatar

Je viens de vérifier sur ipad : Telegram = 3 (contact info,identifiers,contacts)



Edit: le temps de vérifier, réponse de misocard ;)

votre avatar

C’était le cas pendant un moment et à partir de la 3.0, l’app a été réécrite complètement.
Voir ici : github.com GitHub



C’est un peu mieux que Whatsapp mais il y a encore des manques non négligeables : la partie serveur reste propriétaire, les conversations de groupe ne sont pas chiffrées ainsi que la version Desktop.
La fiabilité du chiffrement a été également remise en cause.
Je n’ai plus tous les liens sous la main mais voici quelques éléments :
github.com GitHubIl y a aussi une série de Tweets d’Evan Sultanik (chercheur en sécu informatique) twitter.com Twitter

votre avatar

J’ai mal compté. :fou:
Misocard à raison Telegram –> 4

votre avatar

misocard a dit:


(mais je ne conseille quand même pas l’utilisation de Telegram)


Pourquoi ?



Question sincère hein, mais j’utilise Telegram parce que




  • C’est pas Facebook derrière (exit WhatsApp, Messenger …)

  • Il a une ergonomie compatible avec mes proches (Signal reste assez austère, moi ça me dérange pas mais ça en repousse)

  • Mes proches n’ont pas tous un iPhone (exit iMessage)

  • L’appli est somme toute assez sympa : à la fois sobre et légère, tout en étant riche de fonctionnalités utiles.



Je sais que Telegram est pas aussi parfait qu’on ne le voudrait mais pour moi c’est le bon compromis actuellement entre “je pompe toute ta vie privée pour faire de la pub” et “je suis aussi blindé et austère qu’un tank”.



Si tu as des infos qui invalident mon jugement, ça m’intéresse.

votre avatar

Perso j’ai découvert Keybase il n’y a pas très longtemps.



C’est un peu plus complet qu’une simple messagerie (il gère aussi le chiffrement des communications avec des outils Claude ou le partage de fichiers par ex) mais c’est relativement accessible.



La seule contrainte niveau installation est qu’ils préconisent de multiplier les instances car le profil est lié à l’appareil. Donc en gros il suffit d’installer sur PC, smartphone, et lui faire générer en troisième élément une clé de recouvrement imprimable.

votre avatar

Je précise avant tout que je peux faire des erreurs, ce sont des infos que j’ai trouvées il y a plus de 2 ans et qui ont peut être changé entre temps et que je n’ai jamais utilisé Signal (qui est l’application que je conseillerai si je devais en conseiller une).



Telegram appartient à un milliardaire (Pavel Durov) et c’est lui qui injecte les fonds nécessaire au fonctionnement de l’application. J’ai un peu de mal à croire en cette générosité, même si dans ce cas c’est peut être vrai.
Telegram ne chiffre pas de bout en bout, sauf si on utilise les messages secrets. On peut partir du principe qu’il est possible de lire le contenu du message si on accès au serveur (c’est pour ça que je précise qui est propriétaire de l’application).
Quand j’ai fait mes recherches il n’y avait pas eu d’audit indépendant du chiffrage. Durov assure que le chiffrage est très bon, mais il n’y a pas d’autre solution que de lui faire confiance.



Plus récemment j’ai lu que Durov avait l’intention de rendre l’application rentable (mais via un système de paiement, pas de vente d’information).



Du coup je ne conseille pas l’application car ça m’ennuie de devoir faire confiance à une personne, après ce n’est pas forcément un mauvais choix si on utilise les conversations secrètes

votre avatar

misocard a dit:


Je précise avant tout que je peux faire des erreurs, ce sont des infos que j’ai trouvées il y a plus de 2 ans et qui ont peut-être changé entre-temps et que je n’ai jamais utilisé Signal (qui est l’application que je conseillerai si je devais en conseiller une).


Je vais retester Signal, elle représente mon idéal personnel de toutes manières. Mais le problème des applis de messagerie c’est que tu dois faire un compromis entre ton idéal personnel et l’effort parfois démotivant de faire migrer tes proches. Si j’avais les pleins pouvoirs, ça ferait un moment qu’XMPP serait le standard mondial de messagerie.




Telegram appartient à un milliardaire (Pavel Durov) et c’est lui qui injecte les fonds nécessaire au fonctionnement de l’application. J’ai un peu de mal à croire en cette générosité, même si dans ce cas c’est peut être vrai. Telegram ne chiffre pas de bout en bout, sauf si on utilise les messages secrets. On peut partir du principe qu’il est possible de lire le contenu du message si on accès au serveur (c’est pour ça que je précise qui est propriétaire de l’application). Quand j’ai fait mes recherches il n’y avait pas eu d’audit indépendant du chiffrage. Durov assure que le chiffrage est très bon, mais il n’y a pas d’autre solution que de lui faire confiance.


Tu as raison, mais il faut être cohérent avec ton utilisation : j’utilise Telegram pour envoyer des photos du petit à ma famille. Dans ce contexte, j’ai confiance en Telegram pour ne pas violer ma vie privée pour faire du fric. Niveau chiffrement ce n’est de toutes façons pas pire que les SMS, que Telegram a remplacé chez moi.




Plus récemment j’ai lu que Durov avait l’intention de rendre l’application rentable (mais via un système de paiement, pas de vente d’information).
Honnêtement je trouverai ça vraiment rassurant. Il faudra voir le modèle de pricing mais si c’est du même tonneau que l’ancien pricing de WhatsApp avant FB (1€/an de mémoire) je serai prêt à payer si ça peut assurer l’indépendance du service (avec garanties).



Du coup je ne conseille pas l’application car ça m’ennuie de devoir faire confiance à une personne, après ce n’est pas forcément un mauvais choix si on utilise les conversations secrètes


Je comprend.

votre avatar

J’apporte une correction à mon premier message dans ce fil (https://www.nextinpact.com/article/45309/telegram-peut-exposer-position-exacte-sous-certaines-conditions#comment/1846438)



Alors qu’il est question des données collectées spécifiées par l’App Store, je parle d’Exodus. Mais Exodus (à ma connaissance) ne donne pas ce type d’info, il indique les pisteurs intégrés dans chaque application (android). C’est tout aussi utile mais ce n’est pas la même donnée.

Telegram peut exposer la position exacte, sous certaines conditions

Fermer