Telegram : la messagerie sécurisée piégée par le presse-papier

Anthony Nelzin-Santos |

Aucun système n’est jamais parfaitement sûr, et ce sont souvent ceux qui clament l’être qui se font piéger, comme le prouve une nouvelle faille de la messagerie sécurisée Telegram. Le chercheur en sécurité Kirill Firsov s’est en effet aperçu que son client Mac conservait des données privées dans son journal syslog.

Le problème réside dans la gestion du presse-papier : tous les éléments collés sont conservés dans le syslog, même dans le mode « secret » avec chiffrement bout à bout. Cette vulnérabilité « concerne uniquement les messages qui ont été copiés-collés », répond Pavel Durov. Agacé, le fondateur de Telegram argue que le presse-papier est de toute manière « ouvert à toutes les apps ».

Cette défense ne tient pas : les gestionnaires de mots de passe, pour ne citer qu’eux, prennent soin de vider le presse-papier après quelques secondes pour éviter qu’il ne soit récupéré par d’autres apps. Une application de messagerie qui n’a d’autre raison d’être que la sécurité et l’intimité pourrait agir de la même manière.

Encore le ferait-elle que cela ne suffirait pas : le nœud du problème est bien que le contenu du presse-papier est enregistré dans un journal syslog. Or une application malveillante pourrait récupérer les journaux, et donc des données qui étaient censées rester secrètes (macOS Sierra empêchera tout accès aux journaux, cela dit). Durov l’admet, et promet que cette vulnérabilité sera bientôt réglée.

Le principal concurrent de Telegram, WhatsApp, ne fait malheureusement pas mieux : le chercheur en sécurité Jonathan Zdziarski a trouvé un problème similaire dans son client iOS. Des messages censés être éphémères restent dans la base de données de l’application, au lieu d’être immédiatement supprimés ou au moins écrasés par de nouveaux messages.

De là, ils peuvent se retrouver dans une sauvegarde iCloud, dont on sait qu’elles sont le point faible de l’édifice sécuritaire d’Apple. « Le principal problème », résume Zdziarski d’une manière qui convient aussi bien à WhatsApp qu’à Telegram, « réside dans le fait que des communications éphémères ne sont pas éphémères sur le stockage local. »

avatar Ruben715 | 

En ce moment, tous les médias s'intéressent particulièrement à Telegram à cause des récents attentats survenus en France, en Allemagne et aux États-Unis. À présent, les gens voient Telegram comme une application dangereuse réservée aux terroristes et aux hommes politiques corrompus alors que Telegram, c'est tout le contraire ! J'utilise cette messagerie quotidiennement qui m'offre infiniment plus de possibilités que WhatsApp et m'aide énormément dans de nombreux projets. Il y a de nombreux avantages à utiliser Telegram mais cette diabolisation font passer des utilisateurs pour des contributeurs du terrorisme ! Il faut que cela cesse !

avatar JonasL | 

@Ruben715 :
? Qui ? Quand ?

avatar backfromcharly33 (non vérifié) | 

@JonasL :
Assassinat du prêtre.

avatar rikki finefleur | 

Ruben715
C'est pas une diabolisation , c'est une réalité.
Le chiffrement tout le monde peut l'utiliser . Et c'est bien là le nœud du pb, que l'o,n soit terroriste, mafieux ou non..
Après il faut savoir pourquoi un utilisateur lambda souhaite crypter ses conversations.
Il n'y a pas de solution miracle à ce pb.
Quelles sont par exemple tes motivations pour utiliser telegram ?
Que tu t'étonnes sur le fait que telegram soit désormais utilisé par des terroristes et que la presse en fasse echo m'etonne

avatar Ruben715 | 

@rikki finefleur :
Je n'ai rien à cacher. Comme je l'ai dit précédemment, j'utilise Telegram pour son côté pratique. C'est une vraie messagerie multiplateforme qui accueille des groupes immensément plus grands que WhatsApp. Les options et outils offerts par Telegram me donnent une plus grande liberté d'expression. De plus, les robots dans Telegram sont incroyablement performants et proposent des chaînes et logiciels bien au delà de ce que les autres messageries ont à offrir. Et personnellement, je trouve la présentation des messages plus élégante que WhatsApp. Le fait que l'application soit cryptée n'a rien à voir avec mes raisons personnelles, c'est juste un plus. Si les gens se sentent mieux en sachant que leurs messages ne seront jamais lu par des organismes internationaux ou des agences gouvernementales, grand bien leur fasse ! Mais je n'ai rien à cacher et je ne prévois pas de commettre un attentat, ne vous en faites pas.

avatar rikki finefleur | 

Ruben715
Oui mais d'autres en ont une utilisation différente.
Et il est vrai que face a des gouvernements dans le monde entier et en europe qui ne respectent plus la liberté d'expression ou d'opinion ou la liberté individuelle , les gens chiffrent désormais.
Il n'y a qu'a voir les purges en turquie, ou le délit d'opinion est pourchassé devant sa seigneurie erdogan.
Les gouvernements cherchent a éttouffer les gens, ben la révolte est souterraine, le cryptage massif n'est qu'à ses débuts..

SI nos gouvernements étaient plus fermes face à la nsa et cie, ces outils n'auraient pas lieu d'etre. Il ne faut pas donc s’étonner de leur utilisation.
Aujourd'hui les gens vivent dans la peur de leur propre gouvernement qui ne les protège plus mais les espionne, les historise, les hierarchise . Un peu comme si auparavant le gouvernement trouverait normal d'ouvrir tout nos courriers postaux. Qu'aurait-on dit a l’époque !

Et bien grâce au numérique, il ne se prive plus pour lire nos messages, nos opinions nos déplacements . eux ou d'autres entités avec la bénédiction gouvernementale..

avatar 4nonymous93 | 

@rikki finefleur :
1 ta tout dit

avatar 4nonymous93 | 

@rikki finefleur :
Enfin dans le dernier message,
Le chiffrement est quand même nécessaire la surveillance de masse va s'intensifier

avatar Zara2stra (non vérifié) | 

@Ruben715
"Mais je n'ai rien à cacher et je ne prévois pas de commettre un attentat, ne vous en faites pas."

Pourquoi devrait on te croire ?
On ne connait ni ton origine, ni tes fréquentations, et tu utilises une messagerie chiffrée sans nécessité particulière. Par les temps qui courent que tu sois présumé suspect ne me choquerait pas.

avatar reborn | 

@Zara2stra :
Oui il faudrait supprimer le concept d'innocence

avatar Ruben715 | 

@Zara2stra :
J'ai exactement le même pseudonyme sur Telegram. Libre à toi de venir me poser des questions. J'utilise cette application car c'est de loin la plus pratique et en plus, la plus belle ! J'ai fait mon choix. Toutes les autres messageries ont aussi les conversations cryptées.

avatar reborn | 

@Ruben715 :
Oui whatsapps n'est pas le bienvenue au bresil a cause du chiffrement.

avatar byte_order | 

> Quelles sont par exemple tes motivations pour utiliser telegram ?

Quelles sont par exemple vos motivations pour utiliser un couteau de cuisine ?

Dans les deux cas, ces deux types d'outils, dont l'immense majorité des usages est parfaitement normale, peuvent servir à organiser un acte barbare. Comme l'actualité l'a malheureusement démontré très récemment.

Pourtant, personne ne cherche a diaboliser les fabricants de couteau de cuisine.
Alors même qu'entre l'outil de messagerie et le couteau, c'est bien le second qui a fait le plus de dégât.
2 poids, 2 mesures.

Pour rappel, beaucoup de gens utilisent Telegram parce qu'ils trouvent plus pratique que WhatsApp ou iMessage ou Hangout ou Facebook Messenger, pas parce que les communications sont chiffrées (ce que les quasiment tous les autres font aussi, désormais, d'ailleurs).

avatar nykk | 

La majorité des gens utilisent la messagerie FB, des webmails sans sécurité, gardent leurs sms et messages ad vitam aeternam, etc.... Donc oui, les médias et autres ont beau jeu de faire passer Telegram et toutes les autres applications chiffrées comme des outils de terroristes, sachant qu'énormément de personnes ont une connaissance vague de l'informatique (Windows, Office, téléchargements illégaux).
Ici, c'est quand même un site de pratiquants informés et passionnés, donc, nous nous étonnons de choses courantes...

avatar k43l | 

Pour moi, telegram n'a pas plus d'utilité qu'un Whatsapp.

Selon moi son utilisation est conditionné à tes connaissances donc en faire la pub est juste inutile.
J'avais avant viber, wechat, telegram et finalement je les aient toutes virées. Si personne ne les utilisent dans mon entourage, pourquoi conservés ?

Mais surtout mon problème avec telegram au même niveau qu'un snapchat ce sont les conversations secrète. Une mode qui se propage vu que FB le fait et j'ai du mal à comprendre l'utilité... Va donner un RDV a une personne avec ce type de messagerie ouch !

Le seul vrai problème de telegram et c'est là ou ça aide les terroristes, ce sont les groupes public. Mais c'est un autre problème.

avatar KVN | 

« Le principal problème », résume Zdziarski d’une manière qui convient aussi bien à WhatsApp qu’à Telegram, « réside dans le fait que des communications éphémères ne sont pas éphémères sur le stockage local. »

>>> Très bien résumé par Zdziarski, et pour des communications non stockés tout court il y a Kisapp, qui propose la seule techno de communications vraiment éphémères http://apple.co/2939NmL

Leur niveau de sécurité est certifié apparement par des spécialistes Cisco, CESG et Check sur le site https://kisapp.co

C'est fous que les gars de chez macg n'en ai toujours pas parlés alors que certains des plus gros sites l'ont fait, et l'équipe derrière le projet est française ! Bonjour le soutiens les gars :-)

Y'a peu de monde encore mais il suffit d'inviter ses amis, et pour le coup c'est tellement différent des autres messageries qu'on utilise depuis des années que c'est un plaisir de passer sur quelque chose de nouveau et d'innovant. Parler sécurité et confidentialité puis mettre WhatsApp/Telegram dans un même article ça pique les yeux messieurs

avatar reborn | 

@KVN :
Merci je connaissais pas ! Je vais tester ça

avatar KVN | 

Je t'en prie :-)

avatar P'tit Suisse | 

"Adel K. avait créé sa propre chaîne Telegram, suivie par près de 200 personnes. Il y a tout raconté pendant des semaines. Le 25 juillet, la veille de l'attaque sanglante de Saint-Etienne-du-Rouvray, il promet "des gros trucs" à venir et demande à "tous ses frères et soeurs" qui le suivent sur Telegram de partager massivement sa page privée."

http://www.lexpress.fr/actualite/societe/justice/tu-vas-dans-une-eglise-tu-fais-un-carnage-l-enregistrement-glacant-d-adel-kermiche_1816446.html

avatar reborn | 

@P'tit Suisse :
Oui sans telegram l'attaque n'aurait pas eu lieu, c'est ce que tu sous entend ?

avatar rikki finefleur | 

reborn
Disons que cela facilite les choses. Ils ne sont pas complètement cons non plus..

avatar reborn | 

@rikki finefleur :
Oe, je rajoute Mera en mars 2012 n'a pas eu besoin de telegram, et n'importe qui peu prendre un couteau et tuer..

Pas besoin d'armes à feu, pas besoin de darknet, pas besoin de cryptomonnaies..

Et la couverture médiatique et tout aussi importante.

avatar rikki finefleur | 

@reborn
DIsons que si tu as le choix entre une communication discrete , chiffrée et anonyme et dune communication publique, laquelle va favoriser les échanges entre groupe terroristes ?

Et comme une des bases de leur action, recrutement ou faits , dépend des communications, je te laisse le choix de la communication.

Si tu ne le comprends pas , eux l'ont compris.

Il ne manquerait plus que'un vendeur de téléphone dont son premier argumentaire est de lutter contre le FBI (?) et la justice (?) mais ca c'est déjà fait.
Là aussi ce n'est pas tombé dans l'oreille d'un sourd. Mais que ne ferait on pas pour vendre du téléphone au risque de mettre la vie de bien des gens en péril !
Un comme peu telegram quoi.. qui surfe sur la même vague , celle de rendre des gens hors de portée de la justice...
Et la justice c'est rendre la justice afin de protéger la population, mais pas celle d'espionner la population massivement sans raison ou de réduire les droits à l'opinion et libertés individuelles.

avatar Ibiscus | 

@Ruben715 Si ta principale préoccupation avec Telegram n'est pas de cacher ton activité, dont tu ne nous dis rien, pourquoi l'utiliser alors ? Effectivement tu risques une perquisition administrative, et d'après ce que j'ai vu les policiers ne font pas dans la dentelle (porte cassée au minimum) et saisis de ton matériel.
Désolé pour toi, mais dans notre pays il se passe des choses graves et ton confort devient secondaire, c'est cela un "état de guerre" et en plus, c'est moi qui le dit, de "guerre civil" qui engendre la suspicion généralisée.

avatar Xap | 

@Ruben715 :
@ Ibiscus :

Les terroristes veulent supprimer nos libertés et notre état de droit? Pas de problème: les gens comme vous vont s'en charger pour eux.

Et encore le même argument "rien a cacher" qu'il faut détruire a chaque fois:

http://jenairienacacher.fr

avatar Ibiscus | 

Et toi, comme le premier ministre et le ministre de l'intérieur, tu préfères sacrifier la vie de centaines de Français sur l'autel de l'état de droit.

avatar reborn | 

@Ibiscus :
Chier sur l'état de droit c'est un peu chier sur ce qu'est la France. Après ça faudra arrêter de donner des leçons au reste du monde

avatar Bigdidou | 

@Xap :
"Les terroristes veulent supprimer nos libertés et notre état de droit? Pas de problème: les gens comme vous vont s'en charger pour eux."

C'est exactement le fond du problème.

avatar 4nonymous93 | 

Vive télégram et le chiffrement ! Même si t'es pas un utilisateur "lambda" comme tu dis la vie privée doit être respectée ! Ça évite la surveillance de masse

avatar 4nonymous93 | 

Prochaine étape c'est quoi ? Tu veux placé une caméra avec micro dans chaque pièce de chaque maison ? Tu veux une puce RFID dans Le Bras avec géolocalisation permanente ? L'argument d'état d'urgence ou de guerre comme tu l appel ne tiens pas, enfin chacun sa vision des choses ! T'es prêt à perdre de ta liberté pour de la Securite c'est ta vision des choses !

avatar reborn | 

@4nonymous93 :
Pourquoi s'embêter ? Suffit de supprimer toute les libertés fondamentales. Retour 200 ans en arrière..

avatar rikki finefleur | 

reborn
Pas sur que de posséder des outils inviolables aux yeux de la justice soit un grand bénéfice pour la recherche de criminels de terroristes , et donc pour la population tu ne penses pas ?

Contrairement à un retour en arriéré, aujourd'hui un citoyen peut posséder des outils qui peuvent le mettre hors de portée de la justice. Est ce un bien ?
Quand a la liberté d'expression en moins de 30 ans , on l'a bien étouffé par des lois. ou l'interdiction de plus penser autrement.

"La liberté des uns s'arrête là où commence celle des autres. "
Bref vivre ensemble, et ne pas permettre que certains sous couvert d'outils technologiques numériques puissent échapper à leurs crimes et de pouvoir continuer à gambader dans la nature pour continuer leurs actions.
C'est la moindre des choses pour le vivre ensemble.
Mais dans le même temps on ne peut admettre que le gouvernement puisse nous espionner sans raison.

avatar Rodri31 | 

Rien de mieux qu'iMessage ou WhatsApp !

avatar byte_order | 

Qui chiffre tout autant.

avatar Mis4n7hrope | 

En tout cas l'app se fait démonter dans les avis de l'app store. Les gens sont d'une stupidité déconcertante. La masse débile fait peur...

avatar byte_order | 

Sans les programmes de la NSA et la surveillance gouvernementale de masse en toute illégalité, le chiffrement n'aurait pas explosé. C'est la surveillance qui a créer un terreau propice à la généralisation du chiffrement partout, y compris dans les messageries instantanées (et y'a pas que Telegram qui chiffre, pour rappel)

Et ces mêmes gouvernemets maintenant se plaigne de l'audience du chiffrement auprès du grand public, alors que ce sont leurs agissements qui ont créer cette audience !?

Cela a été dit y'a longtemps déjà : la surveillance généralisée illégitime poussera tout le monde à cacher tout par défaut, compliquant infiniment plus le travail légitime de lutte contre le terrorisme...
On y est.

avatar franckh | 

On doit tous simplement interdire cette app

avatar tartenpions | 

Ouais ! Super idée !!

Et si un autre dingue utilise le courrier postal pour communiquer, on interdira la Poste !

Et si encore un autre dingue utilise sa bouche et ses oreilles pour communiquer, on interdira la bouche et les oreilles !

avatar 4nonymous93 | 

Vive le chiffrement ! Faudra pas venir pleurer avec des lois de plus en plus liberticides et la fin de la vie privée pour la majorité de la population mondiale ! Le nouvel ordre mondial approche

avatar Xap | 

@Zara2stra :

Moi aussi j'utilise une messagerie chiffrée. Et mon Mac est chiffré avec Filevault, mes sauvegardes aussi sont chiffrées avec crashplan et j'utilise 1password et Veracrypt pour les infos sensibles. Et je n'ai ni compte facebook ni Google.

Et je n'ai pas a me justifier. Ni a toi ni a personne.

Et tant que la France sera une démocratie et que nous vivrons dans un état de droit, je n'aurai jamais a le faire.

avatar iGeek07 | 

C'est assez hallucinant ce qu'on peut lire dans ce fil de commentaires…

avatar tbr | 

Le malheur, avec des applications telles que Telegram, c'est leur niveau de sécurité. Cela implique que si on les utilise, on est forcément louche(s), non fréquentables, du moins pour celles est ceux "qui n'ont rien à cacher" (mais tout à craindre). Ainsi donc, on est mis dans le même sac que les véritables individus non fréquentables qui eux "ont TOUT à cacher".
Moi, en tant que lambda ET utilisateur de Telegram, entre autre, je revendique le droit non seulement de protéger ma vie privée DONC de "cacher" ce que personne n'a le droit de regarder — MA vie privée ! — et de ne pas être mis dans le même sac que ces individus, quand bien même j'utiliserais Telegram.

Et le raisonnement en creux serait de dire que "puisque tu as quelques choses à cacher et qu'on te prend(rait) alors pour un mec louche, pourquoi ne prend(rai)s-tu pas l'une de ces applications transparentes qui te rendra pur et blanc comme l'agneau qui vient de naître ? Tu sais... Facebook, etc."

Eh bien NON. Non seulement je n'ai rien à cacher et personne ne doit le savoir, mais en plus j'use et abuse de mon droit à la vie privée et je vous merde, tout ceux qui voudraient me mettre dans le sac des individus louches. Ce n'est pas parce que j'utilise Telegram QUE je suis louche.

Un exemple... Ce n'est pas parce que certaines femmes habitent rue Saint-Denis, à Paris, que ce sont nécessairement des p*utes. Et tous les mecs qui roulent au pas dans le bois de Boubou... Euh, enfin si. Là, c'est pas le bon exemple. :)

Telegram m'a vachement servi quand j'ai dû prévenir mon épouse que j'étais en galère dans l'aéroport de Montréal. C'était la seule appli qui passait : toutes les autres étaient bloquées.

Il faut savoir faire la part des choses; surtout pas d'amalgame.

Petit rajout pour dire que ce n'est pas Telegram qui est dangereux, c'est celui qui l'utilise. Et au final, ce n'est pas moins dangereux que n'importe quelle autre application.
Ce qui est carrément dangereux, c'est l'arme employée !

avatar deltiox | 

@tbr :
Entièrement d'accord

Et je merde aussi tout ceux qui auraient quelquechose à redire sur le fait que j'utilise Telegram

avatar rikki finefleur | 

tbr
Oui mais toi tu parles de ton interet alors que l'on parle de l'interet général.
C'est la toute la différence.
En analogie , on pourrait dire
Moi je roule a 110 en ville et je comprends pas pourquoi on interdirait de rouler a plus de 50.. C'est aussi débile.. ou encore pourquoi y a t il des policiers alors que je ne commets jamais de crimes ! Piourquoi dois je payer pour des hopitaux alors que je n'y vais jamais !

bref c'est lun raisonnement qui connait vite ses limites.
Parles donc de l’intérêt général car tu vis en communauté au delà de ton intérêt personnel.

Que tu chiffres on s'en fout (moi aussi je chiffre) mais est ce bon de laisser des outils en dehors de la justice et quelles sont les répercussions sur la communauté ?
Voilà la question au delà de ton intérêt personnel.

Si on accepte de mettre a disposition des outils en dehors de la sphere policiere ou judiciaire , il faut parfois en payer les conséquences en termes de criminalités en blouse blanche et plus souvent bp plus macabres et sanguinaires . . C'est tout l'enjeu.
C'est une décision politique.
D'un coté on a les affres de la nsa et d'une surveillance de masse, de l'autre des outils que les mafieux et terroristes peuvent utiliser en toute impunité pour protéger leurs réseaux et leurs crimes.
Enfin il faut se rappeler qu'il y a 30 ans tout le monde s'en foutait de chiffrer ces documents.
Et que des gens, parfois pour des raisons mercantiles servent a alimenter cette parano et la peur.

Bref en résumé ton intérêt personnel ne va pas au dela que de toi mème, alors qu'il s'agit dun véritable souci de société et de rendre la justice contre ceux qui ont fauté envers d'autres ou d’empêcher des actes criminels à venir.

avatar byte_order | 

Les algorithmes de chiffrement sont public. C'est pas Telegram qu'il faut interdire seulement en suivant ta logique, mais toute diffusion de ces algorithmes.
Comme ils sont partout rediffusé sur Internet, faut censurer Internet *et* interdire tous les logiciels qui mettent en place ces algorithmes.

Et même là, cela n'empêchera pas 2 gus de communiquer entre-eux selon un code convenu entre eux via des lettres postales toutes bêtes pour se synchroniser à prendre un couteau de cuisine et se retrouver à l'entrée d'une église.
Vous voulez interdire les couteaux de cuisine ? Les lettres postales ?

Le danger ne vient pas du messager, mais du message : des idées qui poussent 2 gus à se retrouver devant une église avec des couteaux de cuisine.

Tant que ce type d'idée émergera dans le cerveau de gens, ils trouveront toujours un messager pour la partager. Stéganographie, darknet, snail mail, packet radio, chiffrement, sms, tweet codé, etc sans parler de l'infinie combinaison de tout cela ensemble, les moyens de diffuser un message quelqu'il soit ne manqueront *jamais*.

Le problème c'est l'idée, pas son support. Une idée ne disparait pas sans support, elle (re)germe ailleurs.

avatar arlonjohn | 

Mais est-ce que Telegram chiffre plus que WhatsApp ?!

Car sinon on discute sur n'importe quoi dans ce fil ...
Des dizaines de millions d'utilisateurs parlent sur whatsapp et si ce dernier crypte autant que telegram, alors je ne vois pas pourquoi on en veut qu'à Telegram...

avatar tbr | 

@arlonjohn :
"je ne vois pas pourquoi on en veut qu'à Telegram..."

Bah, c'est simple. C'est parce que des crétins de journaleux, du même acabit que ceux qui parlaient tantôt de meuporg (si ça se trouve), ont découvert que TElegram est utilisé par des TErroristes... Et hop, on amalgame et toute la clique des petits roquets en mal de sécurité se met à aboyer.

avatar iGeek07 | 

@arlonjohn :
Non, c'est même plutôt WhatsApp qui "chiffre plus" que Telegram : dans Telegram, les conversations par défaut sont stockées sur le serveur, alors que WhatsApp ne fait que du end to end (comme iMessage).

avatar byte_order | 

Toutafé.

avatar mat 1696 | 

@Zara2stra :
Arrêtez vos conneries. On le sait (malheureusement) tous: Si un cambrioleur veut vraiment cambrioler ta maison, peut importe ton dispositif de sécurité, il le fera.

La même chose, si un terroriste veut absolument commettre un attentat, peut importe si on empêche la messagerie chiffrée, il le fera quand même en communicant autrement...

Pages

CONNEXION UTILISATEUR