Telegram, salué comme l’une des deux applications de communication les plus privées sur WhatsApp, présentait une faille de sécurité majeure qui aurait pu exposer des messages audio et vidéo auto-destructeurs envoyés par n’importe quel utilisateur, lorsqu’ils étaient utilisés sur Mac. Découverte par le chercheur indépendant en cybersécurité Dhiraj Mishra, la faille concerne Secret Chat, une fonctionnalité qui crypte la conversation sur Telegram entre deux utilisateurs pour s’assurer que le contenu reste crypté même sur les serveurs Telegram. Comme Mishra l’a découvert, lorsque des fichiers multimédias étaient envoyés à un utilisateur dans une discussion normale, Telegram révélait le dossier de destination où les fichiers audio, vidéo et image étaient stockés. Bien que Telegram n’ait pas révélé la destination du fichier sous Secret Chat (c’est-à-dire les chats cryptés), il stockait toujours les fichiers multimédias reçus dans le même dossier de destination et les fichiers de ce dossier n’étaient pas automatiquement supprimés par Telegram.

Les fichiers multimédias en question restent dans le dossier de stockage local, même après avoir été automatiquement supprimés d’une fenêtre de discussion après une période prédéterminée. Mishra a également constaté que la version 7.3 de l’application Telegram pour macOS stockait les codes d’accès locaux, que vous avez peut-être définis afin d’empêcher d’autres utilisateurs de se connecter à votre fenêtre de discussion sur un appareil partagé, en texte brut. En substance, cela signifie que tout utilisateur intentionnel pourrait potentiellement trouver votre mot de passe et accéder à vos conversations. Avec Secret Chat, les utilisateurs conscients de la faille pourraient essentiellement exposer l’audio, la vidéo et les images privés des contacts, qui autrement auraient eu l’impression que leurs informations étaient sécurisées.

Mishra a signalé l’incident à Telegram le 26 décembre 2020. Comme il l’a dit à News18, la faille a été corrigée ces derniers jours et Mishra a reçu une prime de bogue de 3000 euros. Expliquant ses conclusions, Mishra a ajouté: «Au cours de mon évaluation, j’ai constaté que les messages auto-détruits, dans ce cas les messages audio / vidéo enregistrés, ne sont en fait jamais supprimés et laissent une copie locale sous un chemin personnalisé / sandbox. Le message audio / vidéo enregistré est stocké au format mp4 ou mov, et le reste même après la suppression d’un utilisateur pour tout le monde du chat normal. «

Telegram a gagné en popularité après que la mise à jour de la politique de partage de données de WhatsApp ait mis en évidence des écarts en termes de perception de la sécurité des données des utilisateurs. Alors que WhatsApp continue de soutenir que son cryptage de bout en bout protège les données des utilisateurs avec une sécurité suffisante, c’est son partage de métadonnées avec son parent Facebook qui a soulevé les inquiétudes. Au cours de cette période, Telegram et l’application de chat sécurisé Signal ont été les plus grands bénéficiaires et ont connu une croissance exponentielle d’utilisation ces derniers temps. Cependant, en examinant de plus près les applications maintenant, il reste à voir si Telegram ou Signal présente davantage de vulnérabilités de ce type qui pourraient divulguer par inadvertance des données privées comme le faisait Telegram Secret Chat via son application Mac.