Telegram : quand un sticker permettait d’accéder à des conversations privées
Le 16 février 2021 à 08h43
1 min
Logiciel
Logiciel
Le pot aux roses a été découvert par la société italienne Shielder, comme le rapporte The Hackers News. Les développeurs de la messagerie ont été informés en amont et la brèche corrigée entre fin septembre et début octobre.
Cette faille « permettait ainsi aux attaquants d'envoyer des autocollants bien particuliers à des utilisateurs afin d'accéder aux messages, photos et vidéos qui ont été échangés avec leurs contacts Telegram, via des conversations classiques et secrètes », expliquent nos confrères. Android, iOS et macOS sont concernés.
Ils ajoutent que l’exploitation réelle était plus compliquée qu’il n’y paraît puisqu’elle nécessitait aussi d’exploiter une autre faille afin de contourner les protections de la machine. Des manipulations à la portée de certains groupes de pirates, notamment ceux soutenus par un État.
Le 16 février 2021 à 08h43
Commentaires (25)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 16/02/2021 à 08h54
Ils multiplient les problèmes de sécurité en ce moment, dommage parce que le concept est vraiment intéressant
Le 16/02/2021 à 09h33
Le concept de Telegram est bancal depuis le départ …
Rien que le fait qu’il faille activer un chat secret pour bénéficier du chiffrage bout à bout est une absurdité et je pense que ce n’est toujours pas possible dans les discussions de groupe.
La méthode de chiffrage n’a jamais été auditée (ça marche il faut leur faire confiance)
De plus c’est un modèle économique à perte, c’est financé par un gars, donc totalement dépendant de sa volonté
J’en viens à me demander si il ne vaut pas mieux utiliser facebook messenger à la place de Telegram
Le 16/02/2021 à 09h46
Effectivement pas de chiffrement sur les conversations de groupe et plus globablement pas de chiffrement pour le client “desktop”. La partie serveur demeure propriétaire.
Twitter
Je remets le lien vers les propos du chercheur en sécurité Evan Sultanik car ça me semble important de savoir ce qu’il en est réellement.
A ce jour, je n’ai pas vu de changement sur ces points mais si quelqu’un a des infos sur d’éventuelles évolutions, ne pas hésiter à le signaler.
Le 16/02/2021 à 09h46
Ils ont des problèmes comptables?
Le 16/02/2021 à 09h49
Pour les questions de sécurité, c’est probable en effet.
Le 16/02/2021 à 09h53
FB Messenger utilise aussi Signal Protocol comme sur Whatsapp ?
Edit : la question était un peu hâtive car j’ai eu la réponse en deux clics, la réponse est oui.
Le 16/02/2021 à 10h47
Existe-t-il d’autres messageries (grand public) pouvant servir d’alternative à Telegram ?
Signal, WhatsApp, Facebook Messenger (ou les simples SMS) ne sont pas utilisables en mode anonyme, c’est vraiment dommage…
Discord l’est, mais n’est ni chiffré (c’est d’ailleurs une pompe à données perso), ni utilisable avec le simple numéro de téléphone.
Le 16/02/2021 à 11h13
J’ai vu le nom “Wickr” qui semble faire ce dont tu as besoin (sur papier en tout cas)
Le 16/02/2021 à 12h14
Perso, je trouve toujours compliqué de s’orienter vers une messagerie dite “sécurisée” qui n’est pas libre. Wickr comme Olvid ont fait le choix de se limiter à publier leurs technos.
Pour le reste, c’est porte close donc il faut les croire sur parole.
Aussi tu as un tableau sur Wikipedia qui liste les protocoles de messagerie avec justement le type d ‘identifiant utilisé, je ne sais pas si il est à jour mais ça te fait déjà une base de recherche.
Wikipedia
Le 16/02/2021 à 11h16
Qu’est ce que tu veux dire par mode anonyme ? C’est à dire ne pas fournir un identifiant personnel genre numéro de téléphone ou email ?
Le 16/02/2021 à 11h53
Par “anonyme”, je veux dire la possibilité de contacter quelqu’un sans avoir son numéro de téléphone, son nom/prénom (coucou Facebook Messenger), ou son adresse mail.
Par exemple, Telegram permet de démarrer une conversation avec quelqu’un en ayant juste son pseudonyme (ce que j’appelle “anonyme”, peut-être à tort), ou avec son numéro de téléphone (comme Signal ou WhatsApp). C’est cette première fonctionnalité qu’il me manque sur Signal, que j’ai essayé puisque souvent érigé comme alternative plus sérieuse à Telegram.
Le numéro de téléphone est cependant obligatoire pour la création de compte Telegram, mais ce n’est pas un problème pour moi.
Le 16/02/2021 à 11h33
Tu as Olvid.
Plus compliqué à mettre en place avec ses amis, et il faut payer pour avoir des appels audio et vidéo.
Mais il n’enregistre absolument rien, et tu peux mettre un pseudo.
Le 16/02/2021 à 11h41
Tu me fais penser à Flash, qui était un concept intéressant.
Mais lui n’a pas eu des problèmes de sécurité “en ce moment”, ça a duré tout le long de sa carrière (qui a été plutôt longue malgré ça).
Le 16/02/2021 à 12h41
Jami c’est un logiciel libre qui fait des communications point à point chiffrées anonymes et est basé sur une blockchaine pour stocker les utilisateurs. Difficile de faire mieux en termes de vie privée.
Le 16/02/2021 à 13h40
En complément:
https://www.securemessagingapps.com/
Le 16/02/2021 à 13h50
Cherche du côté de Threema et de Session !
Le 16/02/2021 à 14h08
+1 pour Session comme alternative (et Olvid si cocorico).
Le 16/02/2021 à 15h39
Problème majeur 80% des users sont sur what’s app, messenger, imessage.
Du coup nous voila bloqué, les alternatives sont intéressantes, mais quand je voit la difficulté a gardé actif des gens sur signal quasi identique a what’s app les alternative …
Le 16/02/2021 à 17h31
Oui ce n’est pas simple mais pas impossible non plus, je n’ai que Signal pour ma part, j’ai réussi dans un premier temps à avoir ma famille dessus puis après les amis avec lesquels je discute le plus par écrit. Pour le reste, c’est SMS en attendant de les voir débarquer mais faut avouer que j’ai vu un paquet de monde arriver avec les évènements récents.
Après je ne cherche pas convaincre de changer de crèmerie, quand je tente d’avoir une personne sur signal je lui explique juste que c’est une app de messagerie à installer en parallèle des autres et ça passe assez bien. De plus le fait d’être sur plusieurs messageries est devenue monnaie courante alors une de plus, une de moins.
Le 16/02/2021 à 18h11
Perso je n’utilise que Signal/Signal desktop et discord (quelques irréductible qui ne veulent que discorde et regarde meme pas signal (ce qui est chiant car discord est pire que what’s app niveau vie privée).
Le soucis de signal desktop c’est qu’il faut ajouté manuellement le –start-to-tray pour qu’il y ai un support de la tray icon.
Le 17/02/2021 à 07h33
Ah bah j’apprends un truc pour l’existence de cette fonctionnalité, merci.
Des tickets GitHub intéressants à suivre à ce sujet :
GitHub
GitHub
GitHub
Je constate par la même occasion que la contrainte se situe sur le fait de devoir réinscrire l’argument après chaque mise à jour, effectivement une option dans les paramètres serait plus adéquat quitte à indiquer une mention “expérimental” ou dans une partie fonctions avancées.
Le 17/02/2021 à 11h07
Actuellement pour cela j’ai ajouté signal au démarrage via le registre de ce fait cela résiste au update.
Mais un support natif serait plus intéressant.
Maintenant LA fonction que j’attend, c’est l’ajout de nom d’utilisateur ou d’id quelconque pour enfin pouvoir discuter avec des gens moins proche sans rendre publique son numéro de gsm (comme sur télégram).
Le 18/02/2021 à 07h47
Dans ce cas, tu peux regarder du côté de Threema : open source, 100 % anonyme (un ID généré aléatoirement, mais tu peux lier ton adresse e-mail ou ton téléphone si tu le souhaites), chiffrement E2E… le seul petit point négatif, c’est que l’application est payante (une seule fois). Ce n’est rien, mais ça a de quoi refroidir pas mal de gens en général
Le 19/02/2021 à 08h37
Signal desktop se synchronise avec la version mobile ? J’avais cru comprendre qu’il n’était pas possible d’utiliser signal sur plusieurs appareil en même temps.
Aussi, ce qui me manque à Signal c’est la possibilité de gérer plusieurs SIM. Ainsi j’aurai dégagé mon application SMS actuelle et tout passé via Signal.
Le 19/02/2021 à 15h58
ils est synchronisé et ne nécessite pas que le mobile soit connecté cependant par sécurité les message envoyé avant l’installation de l’app sur pc/Mac/linux ne seront pas synchronisé, mais une chois installé ils seront synchronisé