Telegram offre une prime à un chercheur pour qu'il ne révèle pas une faille

Fanny Dufour
05 octobre 2021 à 12h00
5
Telegram

Pour sa découverte d'une faille dans le système d'auto-destruction des images, Telegram a offert 1 000 euros à un chercheur. Cependant, pour récupérer la récompense, il devait signer un contrat l'empêchant de parler publiquement des détails techniques de la faille sans l'accord de l'entreprise.

Après avoir souligné l'existence de cette clause assez inhabituelle, le chercheur n'a plus eu de réponse de la part de l'entreprise.

Lire aussi :
Telegram infecté par des bots tentant de récupérer les mots de passe à usage unique

Une faille dans le système d'auto-destruction

En février, Telegram a introduit des fonctionnalités d'auto-destruction pour les messages. Un chercheur du nom de Dmitrii a décidé de tester ces nouveautés et a découvert que les images censées être supprimées automatiquement ne l'étaient que « visuellement ». Si elles n'apparaissaient plus dans les conversations, elles restaient toujours présentes dans le cache du téléphone, dans un dossier Telegram Image. Le bug était présent dans l'application Telegram sur Android, dans les versions 7.5.0 à 7.8.0.

Telegram possède un système de bug bounty, géré par HackerOne, et c'est vers celui-ci que le chercheur s'est tourné pour informer l'entreprise de sa découverte en mars. Mais c'est seulement en septembre que Telegram a admis l'existence de la faille et a collaboré avec le chercheur sur le test de son correctif.

Lire aussi :
WhatsApp tombe, Signal explose : quand 2 milliards d'utilisateurs se retrouvent sans messagerie

Une clause surprenante

Toutefois, deux mauvaises surprises supplémentaires attendaient Dmitrii. La première, la récompense qui s'élevait à seulement 1 000 euros, là où en 2019 la découverte d'une faille similaire avait été récompensée par 2 500 euros.

Et surtout, dans le contrat entre le chercheur et Telegram réalisé dans le cadre du bug bounty, une clause l'empêchait de dévoiler des détails techniques sur la faille sans l'accord écrit de l'entreprise. Une façon de faire assez inhabituelle lorsque la plupart des entreprises autorisent les chercheurs à parler de leurs découvertes après 60 ou 90 jours.

Après avoir attiré l'attention de l'entreprise sur ce détail, le chercheur a indiqué ne pas avoir eu de réponse et ne pas avoir reçu sa récompense.

Source : Ars Technica

Fanny Dufour

Fanny Dufour

Arrivée dans la rédaction par le jeu vidéo, c’est par passion pour le développement web que je me suis intéressée plus largement à tout ce qui gravite autour de notre consommation des outils numérique...

Lire d'autres articles

Arrivée dans la rédaction par le jeu vidéo, c’est par passion pour le développement web que je me suis intéressée plus largement à tout ce qui gravite autour de notre consommation des outils numériques, des problématiques de vie privée au logiciel libre en passant par la sécurité. Fan inconditionnelle de science-fiction toujours prête à expliquer pendant des heures pourquoi Babylon 5 est ma série préférée.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (5)

rashomoon
1000 euros ? 2500 euros ? Royal ! Ce n’est même pas le salaire mensuel d’un expert sécurité (certes comparaison tarif France). Pour faire l’économie d’une telle ressource Telegram (et autres) font des bug bounty - pourquoi pas : on paye au résultat -. Mais la prime est ridiculement basse.
slc974
Quelle bande de rachos, 1000€ pour le chercheur et 100k pour le cabinet d’avocat qui a rédigé le contrat… moi je leur dirait qu’ils aillent de faire (selon votre imagination:) au moins ils auront cramé des frais de contrat dans le vide.
Urleur
vraiment des radins et dire qu’ils se font des millions !
Proutie66
Je doute que ce soit réellement 1000 euros <br /> Ca c’est la version officielle, celle qu’on dit <br /> Un développeur c’est pas une pauvrette, surtout de ce niveau.
mrassol
Sans vouloir troller, il n’a pas non plus démonté l’appli, un tour dans un explorateur de fichiers et en 2 minutes on fait la même chose … Je suis certain que d’autres avaient trouvé la «&nbsp;faille&nbsp;» et n’en n’avais juste pas parlé …
Voir tous les messages sur le forum

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page

Sur le même sujet

Meta met à jour son programme de bug bounty avec le metaverse dans le collimateur Meta met à jour son programme de bug bounty avec le metaverse dans le collimateur
Vulnérabilités zero-day : est-il vraiment pertinent de les rendre publiques ? Vulnérabilités zero-day : est-il vraiment pertinent de les rendre publiques ?
La messagerie sécurisée française Olvid devient open source La messagerie sécurisée française Olvid devient open source
La PS5 (et la PS4) hackées via... leur émulateur PS2 La PS5 (et la PS4) hackées via... leur émulateur PS2
Apple : une dangereuse vulnérabilité affecte HomeKit Apple : une dangereuse vulnérabilité affecte HomeKit