Les chercheurs en sécurité ont découvert un moyen simple de contourner la fonction de messages d’autodestruction dans l’application de chat populaire Telegram.
Dans un article de blog, la société de sécurité Trustwave a détaillé deux vulnérabilités distinctes dans Telegram pour macOS, qui compromettent toutes deux l’efficacité de la fonction de confidentialité.
Le premier peut être abusé pour récupérer les données du message (images, messages vidéo, enregistrements vocaux et emplacements partagés) même après le déclenchement du processus d’autodestruction, tandis que le second permet à quelqu’un d’accéder aux médias sans ouvrir le message et déclencher l’autodestruction minuteur.
Les deux scénarios sont rendus possibles par la manière dont Telegram stocke le contenu des messages dans le cache sur les appareils macOS, mais les autres systèmes d’exploitation ne sont pas affectés.
Fonctionnalités de confidentialité des télégrammes
L’option de messages autodestructeurs est hébergée dans le mode Telegram Secret Chat, qui offre aux utilisateurs une couche supplémentaire de confidentialité et de sécurité offerte par le cryptage de bout en bout. Cela signifie qu’aucun tiers n’a accès aux messages envoyés et reçus, y compris Telegram.
Les messages autodestructeurs sont censés aller plus loin, permettant aux utilisateurs de définir une minuterie après laquelle les messages et les médias associés sont supprimés des deux appareils sans laisser de trace. Cependant, les deux bugs découverts par Trustwave semblent rendre la fonctionnalité effectivement obsolète.
Trustwave dit avoir signalé les deux problèmes de sécurité à Telegram, qui a pris des mesures pour en brancher l’un mais pas l’autre. Au moment de la rédaction de cet article, Telegram pour macOS peut toujours être abusé pour accéder aux fichiers multimédias sans ouvrir un message d’autodestruction.
Pour justifier la décision de laisser le deuxième problème sans réponse, Telegram a fourni aux chercheurs la déclaration suivante :
« Veuillez noter que l’objectif principal de la minuterie d’autodestruction est de servir de moyen simple pour supprimer automatiquement des messages individuels. Cependant, il existe des moyens de contourner ce problème qui ne sont pas contrôlés par l’application Telegram (comme la copie du dossier de l’application), et nous avertissons clairement les utilisateurs de telles circonstances.
Dans son article de blog, Trustwave note également qu’il a été contraint de décliner l’offre d’une récompense de bug bounty, dont la réception aurait empêché les chercheurs de divulguer leurs découvertes au public.
« Les primes de bugs sont une récompense bienvenue pour les chercheurs individuels fournissant ce qui équivaut à un audit de sécurité qui se traduit par un meilleur produit et une base d’utilisateurs plus sécurisée », a écrit Reegun Jayapaul, Lead Threat Architect.
“Cependant, les primes aux bogues qui nécessitent un silence permanent sur une vulnérabilité n’aident pas la communauté au sens large à améliorer ses pratiques de sécurité et peuvent servir à soulever des questions sur ce pour quoi exactement la prime aux bogues compense l’individu – signaler une vulnérabilité ou son silence à la communauté . “
Telegram n’a pas encore répondu à notre demande de réponse à cette critique.
Vous devez vous connecter pour laisser un commentaire.