Telegram offre une prime à un chercheur pour qu'il ne révèle pas une faille

05 octobre 2021 à 12h00
5
Telegram

Pour sa découverte d'une faille dans le système d'auto-destruction des images, Telegram a offert 1 000 euros à un chercheur. Cependant, pour récupérer la récompense, il devait signer un contrat l'empêchant de parler publiquement des détails techniques de la faille sans l'accord de l'entreprise.

Après avoir souligné l'existence de cette clause assez inhabituelle, le chercheur n'a plus eu de réponse de la part de l'entreprise.

Une faille dans le système d'auto-destruction

En février, Telegram a introduit des fonctionnalités d'auto-destruction pour les messages. Un chercheur du nom de Dmitrii a décidé de tester ces nouveautés et a découvert que les images censées être supprimées automatiquement ne l'étaient que « visuellement ». Si elles n'apparaissaient plus dans les conversations, elles restaient toujours présentes dans le cache du téléphone, dans un dossier Telegram Image. Le bug était présent dans l'application Telegram sur Android, dans les versions 7.5.0 à 7.8.0.

Telegram possède un système de bug bounty, géré par HackerOne, et c'est vers celui-ci que le chercheur s'est tourné pour informer l'entreprise de sa découverte en mars. Mais c'est seulement en septembre que Telegram a admis l'existence de la faille et a collaboré avec le chercheur sur le test de son correctif.

Une clause surprenante

Toutefois, deux mauvaises surprises supplémentaires attendaient Dmitrii. La première, la récompense qui s'élevait à seulement 1 000 euros, là où en 2019 la découverte d'une faille similaire avait été récompensée par 2 500 euros.

Et surtout, dans le contrat entre le chercheur et Telegram réalisé dans le cadre du bug bounty, une clause l'empêchait de dévoiler des détails techniques sur la faille sans l'accord écrit de l'entreprise. Une façon de faire assez inhabituelle lorsque la plupart des entreprises autorisent les chercheurs à parler de leurs découvertes après 60 ou 90 jours.

Après avoir attiré l'attention de l'entreprise sur ce détail, le chercheur a indiqué ne pas avoir eu de réponse et ne pas avoir reçu sa récompense.

Source : Ars Technica

A découvrir en vidéo

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
5
6
rashomoon
1000 euros ? 2500 euros ? Royal ! Ce n’est même pas le salaire mensuel d’un expert sécurité (certes comparaison tarif France). Pour faire l’économie d’une telle ressource Telegram (et autres) font des bug bounty - pourquoi pas : on paye au résultat -. Mais la prime est ridiculement basse.
slc974
Quelle bande de rachos, 1000€ pour le chercheur et 100k pour le cabinet d’avocat qui a rédigé le contrat… moi je leur dirait qu’ils aillent de faire (selon votre imagination:) au moins ils auront cramé des frais de contrat dans le vide.
Urleur
vraiment des radins et dire qu’ils se font des millions !
Proutie66
Je doute que ce soit réellement 1000 euros <br /> Ca c’est la version officielle, celle qu’on dit <br /> Un développeur c’est pas une pauvrette, surtout de ce niveau.
mrassol
Sans vouloir troller, il n’a pas non plus démonté l’appli, un tour dans un explorateur de fichiers et en 2 minutes on fait la même chose … Je suis certain que d’autres avaient trouvé la «&nbsp;faille&nbsp;» et n’en n’avais juste pas parlé …
Voir tous les messages sur le forum

Derniers actualités

La gaffe ! L'historique des utilisateurs de ChatGPT a brièvement fuité
Distributeurs automatiques de Bitcoin : qu'est-ce qui pouvait mal tourner ?
Smartphones haut de gamme, qui détrônera Apple ? 2022 fait encore mal à la concurrence
Vous cherchez à protéger votre ordinateur ? Intego propose des antivirus pour macOS et Windows à bons prix !
Bard : la liste d'attente pour tester l'IA de Google est ouverte... mais à une condition
Comment l'IA va nous aider à chercher de la vie sur Mars
Apple lâche un prestataire de l'Apple Care en France : 238 employés sur le carreau
L'IA bientôt intégrée à Photoshop, After Effects ou encore Premiere Pro, que va-t-on pouvoir faire avec ?
La montre connectée Google Pixel Watch est à -30% chez Amazon
Hébergement web à petit prix : profitez de cette superbe offre !
Haut de page