En jouant sur le fonctionnement des proxies de la messagerie sur mobile, des acteurs malveillants peuvent récupérer l’adresse IP réelle de leurs cibles. Très au courant du problème, Telegram a promis d’intégrer bientôt… un avertissement.
Cliquer sur un pseudo ou une URL fait partie des réflexes les plus banals dans une conversation Telegram. Pourtant, des chercheurs en sécurité viennent de démontrer que certaines de ces actions déclenchent en arrière-plan une requête réseau directe depuis l’appareil vers un serveur contrôlé par un tiers, sans avertissement, et que cette connexion, censée tester un serveur relais, emporte aussi avec elle l’adresse IP réelle de la personne qui clique. Pour une appli qui revendique protéger l’identité de ses utilisateurs et utilisatrices, le tableau est pour le moins embarrassant.
Une fonction de proxy transformée en piège à IP
Pour comprendre ce qui se joue derrière ce clic, il faut regarder comment Telegram gère ses proxies. La messagerie instantanée repose sur son propre protocole, MTProto, qui chiffre les échanges et fait transiter le trafic par des serveurs relais. Dans les faits, ces proxies servent autant à contourner des blocages qu’à éviter une connexion directe depuis l’adresse IP publique de la personne qui utilise Telegram.
Pour en simplifier la configuration, Telegram s’appuie sur des liens dédiés en t.me/proxy qui embarquent l’adresse du serveur, le port et une clé de connexion. Un clic suffit à importer ces paramètres dans l’application au lieu de les saisir à la main, ce qui explique pourquoi ces liens circulent abondamment dans les canaux publics et les groupes privés.
Or, il se trouve que sur Android et iOS, lorsqu’un lien de proxy est ouvert, Telegram fait plus que lire ces paramètres. Le client teste la disponibilité du serveur en établissant immédiatement une connexion sortante vers l’adresse IP et le port indiqués dans le lien, avant que le proxy ne soit enregistré dans les réglages, et en contournant au passage les autres proxies éventuellement déjà configurés. Cette requête sortante expose alors l’adresse IP source réelle.
Un acteur malveillant peut donc exploiter ce fonctionnement sans effort particulier. Il lui suffit de mettre en place un serveur relais qu’il contrôle, de génèrer un lien t.me/proxy qui pointe vers ce serveur, puis de le camoufler derrière un pseudo ou une URL parfaitement ordinaire dans une conversation. Au tap, Telegram lance son test de connexion et l’adresse IP de la personne ciblée atterrit dans les journaux du serveur, que le propriétaire du proxy malveillant n’a plus qu’à consulter pour en déduire une localisation approximative et préparer des attaques plus ciblées.
Telegram relativise, aux utilisateurs de se protéger
Contacté par BleepingComputer, Telegram a préféré minimiser le problème, arguant qu’un site web ou un proxy voyait toujours l’adresse IP des personnes qui s’y connectaient, et estimant que la situation n’était pas plus spécifique à la messagerie chiffrée qu’à n’importe quel autre service en ligne. L’entreprise a néanmoins promis d’ajouter un avertissement spécifique à l’ouverture des liens de proxy, afin de mieux mettre en évidence les redirections vers des serveurs tiers.
Cet avertissement, dont le calendrier de déploiement n’a pas été précisé, ne bloquera toutefois pas les requêtes de test ni l’envoi de l’adresse IP réelle vers les serveurs externes. Pour mieux pallier ce type de faille logique, il faudra donc compter sur quelques réflexes côté utilisateurs et utilisatrices : vérifier la destination réelle d’un lien avant de l’ouvrir, repérer les références à t.me, en particulier t.me/proxy, lorsqu’elles sont dissimulées derrière un pseudo ou une URL, et éviter de suivre des liens de proxy relayés par des comptes inconnus.
Enfin, pour les profils les plus exposés, on recommandera d’activer un VPN au niveau du système, afin que l’adresse IP source captée par le test lancé par Telegram soit celle du serveur VPN, et non celle fournie par le FAI.
Sources : 0x6rss via X.com, BleepingComputer
