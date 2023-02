Le porte-parole de Telegram, Remi Vaughn, nous a contactés pour réfuter les affirmations de Will Cathcart, responsable de Wired et de WhatsApp, concernant la sécurité de l’application de chat populaire. Selon Vaughn, l’article de Wired contient de nombreuses erreurs et l’équipe éditoriale a ignoré les commentaires et les réponses de Telegram, ce qui a induit Cathcart en erreur.

Telegram a compilé une liste de 9 erreurs dans l’article Wired, que vous pouvez trouver sur télégraphe (un outil de publication minimaliste de Telegram). Le message se termine par “Cette liste est en cours d’extension”.

Ce message traite de diverses affirmations dans l’article de Wired, y compris celle sur le suivi de la localisation – cela n’est possible que si l’utilisateur rend explicitement sa position publiquement visible, ce que seulement 0,01 % des utilisateurs ont fait, écrit Telegram.







Une visualisation du protocole MTProto 2.0

En ce qui concerne la confidentialité des discussions secrètes, Vaughn souligne que Cathcart se trompe sur le fait que le protocole de cryptage de bout en bout (E2EE) de Telegram n’est pas vérifié de manière indépendante. Une équipe de l’Université italienne d’Udine a vérifié le protocole MTProto 2.0 utilisé par Telegram pour sécuriser ses chats – vous pouvez trouver leur article ici (PDF).

Notez qu’il s’agit d’une vérification du protocole plutôt que d’une implémentation spécifique. Mais l’application de Telegram est open source et utilise des versions reproductibles depuis la version 5.13. Les “versions reproductibles” signifient que vous pouvez compiler le code source accessible au public et vérifier que le code machine résultant est identique à celui hébergé sur l’App Store d’Apple, Google Play Store et le site Web de Telegram. Les serveurs Telegram ne sont pas open source, bien que l’équipe d’Udine ait également vérifié le protocole MTProto 2.0 en présence de serveurs malveillants.

Ils soulignent un problème qui pourrait briser la sécurité des chats secrets – lors du démarrage d’un chat secret, il est vital pour l’utilisateur de vérifier l’empreinte digitale des clés d’authentification via un canal externe sécurisé. Sinon, attaques de l’homme du milieu sont possibles (c’est-à-dire qu’un tiers écoute et peut-être même altère les messages). Les chercheurs soulignent qu’une telle erreur de l’utilisateur est également possible lors de l’utilisation de l’application Signal.











Création d’un chat secret et vérification de la clé de cryptage

Donc, si vous utilisez l’une ou l’autre des applications, assurez-vous de vérifier correctement l’empreinte digitale – une conversation secrète n’est pas vraiment secrète tant que vous ne le faites pas et vous ne pouvez pas utiliser la même conversation ou une autre conversation non sécurisée pour vérifier que l’empreinte digitale correspond.