Reuters publiait hier un article dans lequel l'agence affirmait qu'une douzaine de comptes Telegram, appartenant à des activistes, des journalistes et d'autres personnes « aux positions sensibles », avaient été compromis, et que les hackers à l'origine de ce piratage avaient récupéré les numéros de téléphone de 15 millions de personnes. Un hack contrôlé par Collin Anderson, chercheur en cyber-sécurité, et Claudio Guarnieri, d'Amnesty International.
Le hack en question repose sur l'interception du SMS qu'envoie le service pour activer Telegram sur un nouvel appareil. En possession de ce code d'authentification, un hacker peut aisément prendre le contrôle d'un compte et modifier le mot de passe de ce dernier.
Telegram revendique 100 millions d'utilisateurs dans le monde, dont 20 millions en Iran, l'application représentant l'un des seuls canaux de communication non surveillé par l'Etat. La société qui l'édite ne peut se permettre de voir son application remise en question de la sorte, d'autant qu'elle mise toute sa communication autour du caractère prétendument inviolable des communications qui transitent par le service.
- Télécharger Telegram depuis notre logithèque
Telegram a tenu à formuler une réponse à cet article, indiquant que si la liste des 15 millions de numéros de téléphone existait bel et bien, les numéros étaient « publics » et qu'une telle récupération de données « ne serait plus possible aujourd'hui en raison des modifications apportées à notre interface de programmation ».
Elle poursuit en précisant que si des comptes avaient pu être corrompus, cela n'aurait rien à voir avec le service, car les techniques utilisées, classiques, auraient été facilement contournées par l'authentification à deux facteurs mise en avant par le service. Une authentification qui utilise parfois l'envoi d'un SMS, que les hackers ont justement utilisé...
Un porte-parole du service a finalement apporté une réponse plus précise, préconisant de passer par une vérification par mail : « Si vous avez un mot de passe suffisamment fort et que votre adresse email est sécurisée, alors il n'y a rien qu'un assaillant puisse tenter ». Ce qui n'est pas tout à fait exact non plus, à cause d'une faille structurelle qui réside dans l'utilisation du système de signalisation n° 7 (SS7).
Mes domaines de prédilection ? Les ordinateurs portables et les SSD ! Mais de temps à autre, je m'autorise quelques infidélités pour des boîtiers, des alimentations ou des solutions de refroidissement, tests dont je suis particulièrement friand. Je déteste l'expression "Le mieux est l'ennemi du bien" (notamment lorsqu'il s'agit de rendre mon PC silencieux), les livreurs qui arrivent sans bordereau et les coups de pieds de Polo sous le bureau. J'aime réussir mes photos-produit, améliorer les protocoles de test et cocher la case "Public" de notre interface d'édition. Féru de football, je m'essaie également à la photographie à mes heures perdues et ne recule jamais devant une petite partie de poker. Le tout saupoudré de beaucoup, beaucoup de musique.
Lire d'autres articles
