L’application de messagerie instantanée Telegram a publié un correctif qui permettait à l’application de révéler les adresses IP des utilisateurs lors d’appels vocaux. Très célèbre dans sa catégorie, les utilisateurs optent particulièrement pour l’application en raison de ses fonctions d’anonymat, et Telegram est considéré comme étant sérieusement sécurisé. Le fondateur, Pavel Durov, a même tellement confiance en sa fonctionnalité de sécurité qu’il est prêt à donner 200 000 dollars en bitcoin à la première personne qui rompra le protocole de cryptage de Telegram.
Une première pour Telegram
Cette révélation est particulièrement troublante étant donné que les gens accordent beaucoup de confiance à Telegram. En effet, il vient toujours très bien classé. Peut-être pas le sommet le plus haut, mais certainement parmi les meilleurs. Et c’est un chercheur en sécurité, Dhiraj Mishra, qui a découvert cette vulnérabilité dans la version officielle de Telegram (desktop) pour Windows, Mac, Linux et des applications Telegram Messenger pour Windows. «Telegram est censé être une application de messagerie sécurisée, mais il oblige les clients à n’utiliser que la connexion P2P lors du lancement d’un appel», a écrit Mishra dans un article de blog.
Au cours des 5 dernières années, l’application a accumulé de nombreuses fonctionnalités, notamment la possibilité de passer des appels téléphoniques via l’application. Cette dernière a révélé une fuite d’adresses IP publiques, et privées lors d’appels vocaux. Bien que les utilisateurs puissent désactiver l’option d’appels P2P dans iOS et Android, ils ne disposent pas d’une option pour désactiver la fonctionnalité dans l’application Windows. Surtout que si une adresse IP est exposée, elle peut révéler quelques informations importantes à votre sujet, telles que votre position géographique, votre historique de navigation, les informations de compte, votre identité personnelle, etc. Bref, c’est une situation qui pourrait mettre les utilisateurs dans une position délicate.
Face à ce problème, les utilisateurs peuvent modifier les paramètres pour désactiver la visibilité de leur adresse IP. Une manipulation certes facile, mais que beaucoup ne verront pas comme prioritaire. D’autant plus que le problème est presque méconnu des utilisateurs.
Un bug immédiatement fixé par Telegram
Dhiraj a signalé le problème à Telegram avec une vidéo de validation de principe et a reçu 2 000 € de récompense pour une prime aux bugs. « Nous avons trouvé et corrigé le problème rencontré par notre testeur. Il s’est avéré que lors de la procédure de connexion, l’API n’a renvoyé aucune valeur pour l’option (traitée comme » tout le monde « ) », a déclaré Telegram dans une déclaration donnée à Bleeping Computer. »Ensuite, immédiatement après la connexion de l’utilisateur, l’API a renvoyé la valeur par défaut correcte (mes contacts). Mais le client pouvait mettre plusieurs heures à jour pour actualiser cette configuration. Avant de résoudre ce problème, les applications pouvaient afficher » Tout le monde » dans les paramètres pendant une heure ou deux après une nouvelle connexion ». Une prise de décision qui a été fait très rapidement par Telegram et qui réconforte la plupart de ses utilisateurs.
