Telegram : cette faille de sécurité qui fait débat

[Lako]

Une grave affaire ou beaucoup de bruit pour rien ? Une faille découverte dans le service sécurisé de messagerie Telegram fait débat.

Une grave affaire prise à la légère ou, au contraire, beaucoup de bruit pour rien ? Les avis sont partagés à propos de la faille de sécurité découverte sur Telegram par le dénommé Kirill Firsov.
Ce chercheur russe s’est aperçu que la version Mac du service sécurisé de messagerie enregistrait, dans les journaux système (syslog), chaque message collé dans le champ de discussion depuis le presse-papiers.




S’est ensuivi un échange de tweets à l’issue duquel le bug a été résolu… sans qu’on puisse mesurer quelle était sa réelle ampleur. L’explication entre les deux hommes s’est effectivement terminée sur un « Imagine que la police saisisse ton ordinateur portable et qu’elle retrouve trace de tes messages ‘secrets’ dans syslog » lancé par Kirill Firsov.
« Sandbox inside »

Pour Pavel Durov, la vulnérabilité, repérée sur les versions 2.16 et 2.17 de Telegram, n’est pas aussi importante qu’elle en a l’air : n’est concerné que le texte collé depuis le presse-papiers… auquel toutes les autres applications Mac ont accès.
Sans nier cet état de fait, Kirill Firsov avait pointé du doigt le fait que les messages font l’objet d’une journalisation. Ce à quoi Pavel Durov avait répondu qu’avec le mécanisme dit de « bac à sable » (sandbox), les applications téléchargées sur l’App Store d’OS X – à l’image de Telegram – ne peuvent qu’écrire dans syslog ; pas y accéder en lecture (voir, à ce propos, la documentation d’Apple).
Bilan pour celui qui a financé Telegram via son fonds Digital Fortress, corriger la faille revient juste à éliminer une redondance : le fait que toutes les applications peuvent accéder au contenu du presse-papiers.


Une grave affaire ou beaucoup de bruit pour rien ? Une faille découverte dans le service sécurisé de messagerie Telegram fait débat.

Une grave affaire prise à la légère ou, au contraire, beaucoup de bruit pour rien ? Les avis sont partagés à propos de la faille de sécurité découverte sur Telegram par le dénommé Kirill Firsov.
Ce chercheur russe s’est aperçu que la version Mac du service sécurisé de messagerie enregistrait, dans les journaux système (syslog), chaque message collé dans le champ de discussion depuis le presse-papiers.

[Lako]

L'application Telegram est au coeur d'une polémique depuis la découverte d'une faille critique qui touche la version OS X.
Si vous ne connaissez pas Telegram, il s'agit d'une application de messagerie instantanée qui a fait sa renommée grâce à l'intégration du chiffrement des échanges de bout en bout. L'objectif pour ses développeurs, Nikolai et Pavel Durov, était alors de se placer hors de portée du gouvernement russe qui venait juste de prendre le contrôle de leur réseau social, VKontakte.Depuis 2013, Telegram a donc joué sur la sécurisation des échanges pour s'installer auprès des utilisateurs, et ce, sur la plupart des plateformes. Actuellement, l'application compte 12 milliards de messages échangés par jour.Malheureusement, l'application a récemment été citée dans les faits divers pour avoir été utilisée par des djihadistes pour organiser leurs trafics et actions dans le monde, y compris en France.Aujourd'hui toutefois, c'est une faille de sécurité qui met Telegram sous le feu des projecteurs. Le chercheur Kiril Firsov annonce ainsi avoir découvert une faille importante sur le client Mac de l'application.L'expert a ainsi découvert que l'application enregistrait automatiquement tous les messages collés dans le champ de discussion depuis le presse-papier vers les journaux du système. Interpellés à ce sujet, les développeurs de l'application ont insisté sur le fait qu'il ne s'agissait pas d'une faille, mais d'un fonctionnement normal puisque la procédure est imposée à toutes les applications distribuées par l'App Store.Toutes les applications de l'App Store ont accès au presse-papier du système, et donc la faille ne concernerait pas véritablement Telegram, mais plutôt les systèmes d'Apple.Concrètement, si un pirate ou les autorités mettent la main sur votre terminal Apple, il n'y aurait qu'à analyser le syslog pour récupérer l'intégralité des messages envoyés via Telegram... Le chiffrement de bout en bout perd donc son intérêt, du moins à 50%.Seule parade pour éviter de conserver des traces de ses échanges : éviter le copier-coller.