Profitez de Clubic à 100%

Rejoignez la communauté de passionnés des sujets numériques et scientifiques

  • Participez aux discussions
  • Recevez des notifications
  •  
Vous avez déjà un compte ? Connectez-vous
Connexion

Telegram offre une prime à un chercheur pour qu'il ne révèle pas une faille

Fanny Dufour
05 octobre 2021 à 12h00
5
Telegram

Pour sa découverte d'une faille dans le système d'auto-destruction des images, Telegram a offert 1 000 euros à un chercheur. Cependant, pour récupérer la récompense, il devait signer un contrat l'empêchant de parler publiquement des détails techniques de la faille sans l'accord de l'entreprise.

Après avoir souligné l'existence de cette clause assez inhabituelle, le chercheur n'a plus eu de réponse de la part de l'entreprise.

Lire aussi :
Telegram infecté par des bots tentant de récupérer les mots de passe à usage unique

Une faille dans le système d'auto-destruction

En février, Telegram a introduit des fonctionnalités d'auto-destruction pour les messages. Un chercheur du nom de Dmitrii a décidé de tester ces nouveautés et a découvert que les images censées être supprimées automatiquement ne l'étaient que « visuellement ». Si elles n'apparaissaient plus dans les conversations, elles restaient toujours présentes dans le cache du téléphone, dans un dossier Telegram Image. Le bug était présent dans l'application Telegram sur Android, dans les versions 7.5.0 à 7.8.0.

Telegram possède un système de bug bounty, géré par HackerOne, et c'est vers celui-ci que le chercheur s'est tourné pour informer l'entreprise de sa découverte en mars. Mais c'est seulement en septembre que Telegram a admis l'existence de la faille et a collaboré avec le chercheur sur le test de son correctif.

Lire aussi :
WhatsApp tombe, Signal explose : quand 2 milliards d'utilisateurs se retrouvent sans messagerie

Une clause surprenante

Toutefois, deux mauvaises surprises supplémentaires attendaient Dmitrii. La première, la récompense qui s'élevait à seulement 1 000 euros, là où en 2019 la découverte d'une faille similaire avait été récompensée par 2 500 euros.

Et surtout, dans le contrat entre le chercheur et Telegram réalisé dans le cadre du bug bounty, une clause l'empêchait de dévoiler des détails techniques sur la faille sans l'accord écrit de l'entreprise. Une façon de faire assez inhabituelle lorsque la plupart des entreprises autorisent les chercheurs à parler de leurs découvertes après 60 ou 90 jours.

Après avoir attiré l'attention de l'entreprise sur ce détail, le chercheur a indiqué ne pas avoir eu de réponse et ne pas avoir reçu sa récompense.

Source : Ars Technica

A découvrir en vidéo

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
5
6
rashomoon
1000 euros ? 2500 euros ? Royal ! Ce n’est même pas le salaire mensuel d’un expert sécurité (certes comparaison tarif France). Pour faire l’économie d’une telle ressource Telegram (et autres) font des bug bounty - pourquoi pas : on paye au résultat -. Mais la prime est ridiculement basse.
slc974
Quelle bande de rachos, 1000€ pour le chercheur et 100k pour le cabinet d’avocat qui a rédigé le contrat… moi je leur dirait qu’ils aillent de faire (selon votre imagination:) au moins ils auront cramé des frais de contrat dans le vide.
Urleur
vraiment des radins et dire qu’ils se font des millions !
Proutie66
Je doute que ce soit réellement 1000 euros <br /> Ca c’est la version officielle, celle qu’on dit <br /> Un développeur c’est pas une pauvrette, surtout de ce niveau.
mrassol
Sans vouloir troller, il n’a pas non plus démonté l’appli, un tour dans un explorateur de fichiers et en 2 minutes on fait la même chose … Je suis certain que d’autres avaient trouvé la «&nbsp;faille&nbsp;» et n’en n’avais juste pas parlé …
Voir tous les messages sur le forum

Derniers actualités

La gaffe ! L'historique des utilisateurs de ChatGPT a brièvement fuité
La gaffe ! L'historique des utilisateurs de ChatGPT a brièvement fuité

ChatGPT a enregistré un bug à cause duquel l'historique des conversations privées des utilisateurs a été accessible à d'autres personnes.

21/03 Intelligence artificielle
16
Distributeurs automatiques de Bitcoin : qu'est-ce qui pouvait mal tourner ?
Distributeurs automatiques de Bitcoin : qu'est-ce qui pouvait mal tourner ?

Des hackers ont réussi à voler un joli trésor en piratant des distributeurs automatiques de cryptomonnaies.

21/03 Cyber sécurité
8
Smartphones haut de gamme, qui détrônera Apple ? 2022 fait encore mal à la concurrence
Smartphones haut de gamme, qui détrônera Apple ? 2022 fait encore mal à la concurrence

Apple a encore plus dominé le marché des smartphones haut de gamme en 2022. Une tendance qui devrait perdurer.

21/03 Smartphone
11
Vous cherchez à protéger votre ordinateur ? Intego propose des antivirus pour macOS et Windows à bons prix !
Vous cherchez à protéger votre ordinateur ? Intego propose des antivirus pour macOS et Windows à bons prix !

Vous pouvez ainsi optimiser votre cybersécurité facilement grâce à ces solutions antivirus vraiment très faciles à prendre en main !

21/03 Antivirus
Bard : la liste d'attente pour tester l'IA de Google est ouverte... mais à une condition
Bard : la liste d'attente pour tester l'IA de Google est ouverte... mais à une condition

Si vous désirez faire partie des premiers utilisateurs de Google Bard, vous allez devoir recourir à l'utilisation d'un VPN.

21/03 Intelligence artificielle
1
Comment l'IA va nous aider à chercher de la vie sur Mars
Comment l'IA va nous aider à chercher de la vie sur Mars

En collectant des données sur la biosignature terrestre, des chercheurs ont entraîné des réseaux neuronaux à repérer des zones habitables anciennes ou actuelles sur d'autres planètes.

21/03 Intelligence artificielle
Apple lâche un prestataire de l'Apple Care en France : 238 employés sur le carreau
Apple lâche un prestataire de l'Apple Care en France : 238 employés sur le carreau

L'américain Conduent a annoncé la fermeture de l'un de ses centres d'appels français, situé en Ardèche. Ce dernier travaillait exclusivement pour Apple, qui a décidé de rompre son contrat. Les 238 employés du site seront licenciés d'ici cet été.

21/03 Technologies et politique
16
L'IA bientôt intégrée à Photoshop, After Effects ou encore Premiere Pro, que va-t-on pouvoir faire avec ?
L'IA bientôt intégrée à Photoshop, After Effects ou encore Premiere Pro, que va-t-on pouvoir faire avec ?

Adobe dévoile Firefly, son intelligence artificielle générative maison, axée sur la création, la productivité et l'accessibilité des outils aux utilisateurs aussi bien débutants que chevronnés.

21/03 Intelligence artificielle
3
La montre connectée Google Pixel Watch est à -30% chez Amazon
La montre connectée Google Pixel Watch est à -30% chez Amazon

Après les smartphones, Google s'attaque au marché des montres connectées et propose la Goole Pixel Watch, un modèle sobre et technologique doté de capteurs pour surveiller votre santé, vos efforts physiques et même votre sommeil, actuellement en promotion chez Amazon.

21/03 Bons plans Amazon
Hébergement web à petit prix : profitez de cette superbe offre !
Hébergement web à petit prix : profitez de cette superbe offre !

En plus, cet abonnement de longue durée est encore moins cher grâce au code promo disponible !

21/03 Bons plans SSD - Stockage

Avis Cyber sécurité

Avis Kaspersky Total Security (Test 2023) : toujours le meilleur antivirus familial ?
Avis Kaspersky Total Security (Test 2023) : toujours le meilleur antivirus familial ?
2 Avis NordVPN Antivirus (Test 2023) : simple complément ou réelle solution de protection ?
Avis NordVPN Antivirus (Test 2023) : simple complément ou réelle solution de protection ?
Avis Bitdefender Digital Identity Protection : un bouclier pour votre identité sur le Web
Avis Bitdefender Digital Identity Protection : un bouclier pour votre identité sur le Web
Avis BullGuard Premium Protection : une suite antivirus sophistiquée pour tous ?
Avis BullGuard Premium Protection : une suite antivirus sophistiquée pour tous ?
Antivirus gratuit pour Mac : lequel choisir ?
Antivirus gratuit pour Mac : lequel choisir ?
+ de avis Cyber sécurité

Articles Cyber sécurité

8 Distributeurs automatiques de Bitcoin : qu'est-ce qui pouvait mal tourner ?
Distributeurs automatiques de Bitcoin : qu'est-ce qui pouvait mal tourner ?
1 Windows, Android : attention à ces fausses apps WhatsApp et Telegram, elles sont malveillantes
Windows, Android : attention à ces fausses apps WhatsApp et Telegram, elles sont malveillantes
14 Pourquoi Moscou ne veut plus d'iPhone dans les mains des hommes politiques russes
Pourquoi Moscou ne veut plus d'iPhone dans les mains des hommes politiques russes
12 Ferrari victime d'un ransomware : que s'est-il passé ?
Ferrari victime d'un ransomware : que s'est-il passé ?
5 Il tenait le plus puissant forum de ventes de données :
Il tenait le plus puissant forum de ventes de données : "Pompompurin" a été arrêté !
Les tendances
Haut de page