Telegram offre une prime à un chercheur pour qu'il ne révèle pas une faille

05 octobre 2021 à 12h00
5
Telegram

Pour sa découverte d'une faille dans le système d'auto-destruction des images, Telegram a offert 1 000 euros à un chercheur. Cependant, pour récupérer la récompense, il devait signer un contrat l'empêchant de parler publiquement des détails techniques de la faille sans l'accord de l'entreprise.

Après avoir souligné l'existence de cette clause assez inhabituelle, le chercheur n'a plus eu de réponse de la part de l'entreprise.

Une faille dans le système d'auto-destruction

En février, Telegram a introduit des fonctionnalités d'auto-destruction pour les messages. Un chercheur du nom de Dmitrii a décidé de tester ces nouveautés et a découvert que les images censées être supprimées automatiquement ne l'étaient que « visuellement ». Si elles n'apparaissaient plus dans les conversations, elles restaient toujours présentes dans le cache du téléphone, dans un dossier Telegram Image. Le bug était présent dans l'application Telegram sur Android, dans les versions 7.5.0 à 7.8.0.

Telegram possède un système de bug bounty, géré par HackerOne, et c'est vers celui-ci que le chercheur s'est tourné pour informer l'entreprise de sa découverte en mars. Mais c'est seulement en septembre que Telegram a admis l'existence de la faille et a collaboré avec le chercheur sur le test de son correctif.

Une clause surprenante

Toutefois, deux mauvaises surprises supplémentaires attendaient Dmitrii. La première, la récompense qui s'élevait à seulement 1 000 euros, là où en 2019 la découverte d'une faille similaire avait été récompensée par 2 500 euros.

Et surtout, dans le contrat entre le chercheur et Telegram réalisé dans le cadre du bug bounty, une clause l'empêchait de dévoiler des détails techniques sur la faille sans l'accord écrit de l'entreprise. Une façon de faire assez inhabituelle lorsque la plupart des entreprises autorisent les chercheurs à parler de leurs découvertes après 60 ou 90 jours.

Après avoir attiré l'attention de l'entreprise sur ce détail, le chercheur a indiqué ne pas avoir eu de réponse et ne pas avoir reçu sa récompense.

Source : Ars Technica

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
5
6
rashomoon
1000 euros ? 2500 euros ? Royal ! Ce n’est même pas le salaire mensuel d’un expert sécurité (certes comparaison tarif France). Pour faire l’économie d’une telle ressource Telegram (et autres) font des bug bounty - pourquoi pas : on paye au résultat -. Mais la prime est ridiculement basse.
slc974
Quelle bande de rachos, 1000€ pour le chercheur et 100k pour le cabinet d’avocat qui a rédigé le contrat… moi je leur dirait qu’ils aillent de faire (selon votre imagination:) au moins ils auront cramé des frais de contrat dans le vide.
Urleur
vraiment des radins et dire qu’ils se font des millions !
Proutie66
Je doute que ce soit réellement 1000 euros <br /> Ca c’est la version officielle, celle qu’on dit <br /> Un développeur c’est pas une pauvrette, surtout de ce niveau.
mrassol
Sans vouloir troller, il n’a pas non plus démonté l’appli, un tour dans un explorateur de fichiers et en 2 minutes on fait la même chose … Je suis certain que d’autres avaient trouvé la «&nbsp;faille&nbsp;» et n’en n’avais juste pas parlé …
Voir tous les messages sur le forum

Lectures liées

Un japonais utilise de l'IA pour
Microsoft a (encore) signé un pilote qui était en fait un logiciel malveillant
Campus Cyber, le vaisseau amiral de la cybersécurité française, ouvrira ses portes en février 2022
Cybersécurité : les entreprises délaissent le mot de passe et se tournent vers l'authentification biométrique
Guerre de l'information : le ministère des Armées se dote d'une
Google communique sur les attaques informatiques qui visent les youtubeurs depuis 2019
L'Argentine victime d'un piratage hors norme, les données de Lionel Messi dans le lot
La Chine et la Russie soupçonnées d'ingérences numériques, ces mesures qui vont permettre de surveiller la campagne présidentielle
Une vulnérabilité critique découverte dans un langage de programmation utilisé pour des mods de jeux vidéo
Haut de page