L’application Telegram a subi un piratage massif en Iran


  • FrançaisFrançais

  • Des chercheurs en sécurité rapportent que l’application Telegram a été compromise en Iran. Des pirates ont utilisé l’API et les SMS d’activation pour collecter des numéros de téléphone afin d’identifier des activistes contre le régime.


    Suivez-nous sur notre page Facebook et notre canal Telegram

    Des chercheurs en sécurité rapportent que l'application Telegram a été compromise en Iran.

    L’application Telegram est la plus populaire en Iran puisque les autres messageries sont totalement bloquées. Mais Colin Anderson, chercheur indépendant et Claudio Guarnieri, d’Amnesty International, rapportent des failles dans l’application Telegram qui permettent de collecter les numéros de téléphone des utilisateurs. Notons que les données dans Telegram sont chiffrées et que le service propose un chiffrement bout à bout pour les conversations individuelles.

    La vulnérabilité de l’activation par SMS

    La vulnérabilité de Telegram se base sur l’activation par SMS. Comme toutes les autres messageries, Telegram envoie un SMS pour activer les appareils et l’opérateur de téléphonie peut intercepter ce SMS et le partager avec les pirates. Le processus peut uniquement fonctionner si l’opérateur de téléphonie est associé avec les pirates et cela peut être le cas en Iran qui pratique une surveillance de masse sur ses activistes. Une fois que les pirates possèdent les SMS, ils peuvent les utiliser pour ajouter de nouveaux appareils au compte Telegram qui est visé et ils peuvent ainsi lire les conversations. Les chercheurs ont pu identifier une douzaine de comptes compromis avec l’aide de l’opérateur de téléphonie.

    La vulnérabilité ne réside pas forcément dans Telegram, mais dans la manière où les opérateurs de téléphonie coopèrent sans discuter avec le pouvoir en place comme c’est le cas en Iran. Selon les chercheurs, les pirates font partie d’un groupe appelé Rocket Kitten qui possède des liens avec les Gardiens de la Révolution. Mais le problème est que Telegram fournit aussi une API pour collecter les numéros de téléphone de 15 millions d’utilisateurs. Cela permet d’identifier tous les utilisateurs d’un seul coup et d’associer leur numéro de téléphone à leur ID. Les comptes Telegram visés appartiennent principalement à des opposants au régime.

    La réponse de Telegram

    Telegram a réagi en estimant que la faille par SMS est une nouvelle menace qui est de plus en plus exploitée par les pirates. Les utilisateurs peuvent s’en protéger en utilisant l’authentification à 2 étapes en utilisant un mot de passe. Contrairement à l’authentification à 2 étapes classique, le processus de Telegram permet d’associer un mot de passe supplémentaire. De plus, Telegram déclare également qu’il a considérablement limité l’accès à son API depuis l’année dernière et qu’il est désormais impossible de collecter les numéros de téléphone.

    Whatsapp et les autres messageries ne proposent pas d’API qui permet d’avoir ce type d’information. Telegram est la seule à la proposer afin que les développeurs puissent créer des bots et exploiter les différentes fonctions de leur messagerie. C’est une option intéressante, mais cela crée une faille béante surtout pour une application qui est la seule à fonctionner dans un pays comme l’Iran. Je suis personnellement fan de Telegram, mais on ne peut pas tolérer un tel manque de sécurité sur ce coup.

    Source : Reuters, Telegram

     

    Houssen Moshinaly

    Rédacteur en chef d'Actualité Houssenia Writing. Rédacteur web depuis 2009.

    Blogueur et essayiste, j'ai écrit 9 livres sur différents sujets comme la corruption en science, les singularités technologiques ou encore des fictions. Je propose aujourd'hui des analyses politiques et géopolitiques sur le nouveau monde qui arrive. J'ai une formation de rédaction web et une longue carrière de prolétaire.

    Pour me contacter personnellement :

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *