Le pot aux roses a été découvert par la société italienne Shielder, comme le rapporte The Hackers News. Les développeurs de la messagerie ont été informés en amont et la brèche corrigée entre fin septembre et début octobre.
Cette faille « permettait ainsi aux attaquants d'envoyer des autocollants bien particuliers à des utilisateurs afin d'accéder aux messages, photos et vidéos qui ont été échangés avec leurs contacts Telegram, via des conversations classiques et secrètes », expliquent nos confrères. Android, iOS et macOS sont concernés.
Ils ajoutent que l’exploitation réelle était plus compliquée qu’il n’y paraît puisqu’elle nécessitait aussi d’exploiter une autre faille afin de contourner les protections de la machine. Des manipulations à la portée de certains groupes de pirates, notamment ceux soutenus par un État.
Commentaires (25)
#1
Ils multiplient les problèmes de sécurité en ce moment, dommage parce que le concept est vraiment intéressant
#1.1
Le concept de Telegram est bancal depuis le départ …
Rien que le fait qu’il faille activer un chat secret pour bénéficier du chiffrage bout à bout est une absurdité et je pense que ce n’est toujours pas possible dans les discussions de groupe.
La méthode de chiffrage n’a jamais été auditée (ça marche il faut leur faire confiance)
De plus c’est un modèle économique à perte, c’est financé par un gars, donc totalement dépendant de sa volonté
J’en viens à me demander si il ne vaut pas mieux utiliser facebook messenger à la place de Telegram
#1.2
Effectivement pas de chiffrement sur les conversations de groupe et plus globablement pas de chiffrement pour le client “desktop”. La partie serveur demeure propriétaire.
Je remets le lien vers les propos du chercheur en sécurité Evan Sultanik car ça me semble important de savoir ce qu’il en est réellement.
https://twitter.com/esultanik/status/1129026682260721666
A ce jour, je n’ai pas vu de changement sur ces points mais si quelqu’un a des infos sur d’éventuelles évolutions, ne pas hésiter à le signaler.
#2
Ils ont des problèmes comptables?
#3
Pour les questions de sécurité, c’est probable en effet.
#3.1
FB Messenger utilise aussi Signal Protocol comme sur Whatsapp ?
Edit : la question était un peu hâtive car j’ai eu la réponse en deux clics, la réponse est oui.
#4
Existe-t-il d’autres messageries (grand public) pouvant servir d’alternative à Telegram ?
Signal, WhatsApp, Facebook Messenger (ou les simples SMS) ne sont pas utilisables en mode anonyme, c’est vraiment dommage…
Discord l’est, mais n’est ni chiffré (c’est d’ailleurs une pompe à données perso), ni utilisable avec le simple numéro de téléphone.
#5
J’ai vu le nom “Wickr” qui semble faire ce dont tu as besoin (sur papier en tout cas)
#5.1
Perso, je trouve toujours compliqué de s’orienter vers une messagerie dite “sécurisée” qui n’est pas libre. Wickr comme Olvid ont fait le choix de se limiter à publier leurs technos.
Pour le reste, c’est porte close donc il faut les croire sur parole.
Aussi tu as un tableau sur Wikipedia qui liste les protocoles de messagerie avec justement le type d ‘identifiant utilisé, je ne sais pas si il est à jour mais ça te fait déjà une base de recherche.
https://en.wikipedia.org/wiki/Comparison_of_instant_messaging_protocols
#6
Qu’est ce que tu veux dire par mode anonyme ? C’est à dire ne pas fournir un identifiant personnel genre numéro de téléphone ou email ?
#6.1
Par “anonyme”, je veux dire la possibilité de contacter quelqu’un sans avoir son numéro de téléphone, son nom/prénom (coucou Facebook Messenger), ou son adresse mail.
Par exemple, Telegram permet de démarrer une conversation avec quelqu’un en ayant juste son pseudonyme (ce que j’appelle “anonyme”, peut-être à tort), ou avec son numéro de téléphone (comme Signal ou WhatsApp). C’est cette première fonctionnalité qu’il me manque sur Signal, que j’ai essayé puisque souvent érigé comme alternative plus sérieuse à Telegram.
Le numéro de téléphone est cependant obligatoire pour la création de compte Telegram, mais ce n’est pas un problème pour moi.
#7
Tu as Olvid.
Plus compliqué à mettre en place avec ses amis, et il faut payer pour avoir des appels audio et vidéo.
Mais il n’enregistre absolument rien, et tu peux mettre un pseudo.
#8
Tu me fais penser à Flash, qui était un concept intéressant.
Mais lui n’a pas eu des problèmes de sécurité “en ce moment”, ça a duré tout le long de sa carrière (qui a été plutôt longue malgré ça).
#9
Jami c’est un logiciel libre qui fait des communications point à point chiffrées anonymes et est basé sur une blockchaine pour stocker les utilisateurs. Difficile de faire mieux en termes de vie privée.
#10
En complément:
https://www.securemessagingapps.com/
#11
Cherche du côté de Threema et de Session !
#12
+1 pour Session comme alternative (et Olvid si cocorico).
#12.1
Problème majeur 80% des users sont sur what’s app, messenger, imessage.
Du coup nous voila bloqué, les alternatives sont intéressantes, mais quand je voit la difficulté a gardé actif des gens sur signal quasi identique a what’s app les alternative …
#12.2
Oui ce n’est pas simple mais pas impossible non plus, je n’ai que Signal pour ma part, j’ai réussi dans un premier temps à avoir ma famille dessus puis après les amis avec lesquels je discute le plus par écrit. Pour le reste, c’est SMS en attendant de les voir débarquer mais faut avouer que j’ai vu un paquet de monde arriver avec les évènements récents.
Après je ne cherche pas convaincre de changer de crèmerie, quand je tente d’avoir une personne sur signal je lui explique juste que c’est une app de messagerie à installer en parallèle des autres et ça passe assez bien. De plus le fait d’être sur plusieurs messageries est devenue monnaie courante alors une de plus, une de moins.
#13
Perso je n’utilise que Signal/Signal desktop et discord (quelques irréductible qui ne veulent que discorde et regarde meme pas signal (ce qui est chiant car discord est pire que what’s app niveau vie privée).
Le soucis de signal desktop c’est qu’il faut ajouté manuellement le –start-to-tray pour qu’il y ai un support de la tray icon.
#13.1
Ah bah j’apprends un truc pour l’existence de cette fonctionnalité, merci.
Des tickets GitHub intéressants à suivre à ce sujet :
https://github.com/signalapp/Signal-Desktop/issues/1965
https://github.com/signalapp/Signal-Desktop/issues/2210
https://github.com/signalapp/Signal-Desktop/issues/3515
Je constate par la même occasion que la contrainte se situe sur le fait de devoir réinscrire l’argument après chaque mise à jour, effectivement une option dans les paramètres serait plus adéquat quitte à indiquer une mention “expérimental” ou dans une partie fonctions avancées.
#14
Actuellement pour cela j’ai ajouté signal au démarrage via le registre de ce fait cela résiste au update.
Mais un support natif serait plus intéressant.
Maintenant LA fonction que j’attend, c’est l’ajout de nom d’utilisateur ou d’id quelconque pour enfin pouvoir discuter avec des gens moins proche sans rendre publique son numéro de gsm (comme sur télégram).
#15
Dans ce cas, tu peux regarder du côté de Threema : open source, 100 % anonyme (un ID généré aléatoirement, mais tu peux lier ton adresse e-mail ou ton téléphone si tu le souhaites), chiffrement E2E… le seul petit point négatif, c’est que l’application est payante (une seule fois). Ce n’est rien, mais ça a de quoi refroidir pas mal de gens en général
#16
Signal desktop se synchronise avec la version mobile ? J’avais cru comprendre qu’il n’était pas possible d’utiliser signal sur plusieurs appareil en même temps.
Aussi, ce qui me manque à Signal c’est la possibilité de gérer plusieurs SIM. Ainsi j’aurai dégagé mon application SMS actuelle et tout passé via Signal.
#17
ils est synchronisé et ne nécessite pas que le mobile soit connecté cependant par sécurité les message envoyé avant l’installation de l’app sur pc/Mac/linux ne seront pas synchronisé, mais une chois installé ils seront synchronisé