Des chercheurs du Royal Holloway de l’Université de Londres ont découvert plusieurs failles dans le protocole MTProto utilisé par la populaire application de messagerie cryptée Telegram.
Alors que le cryptage de bout en bout (E2EE) est disponible dans les discussions en tête-à-tête, le protocole MTProto est utilisé dans les discussions de groupe du service (également appelées discussions en nuage) ainsi que lorsque les utilisateurs ne choisissent pas E2EE. . MTProto est la version de Telegram de la sécurité au niveau du transport (TLS) qui est utilisée pour sécuriser les données en transit et pour protéger les utilisateurs contre les attaques de l’homme du milieu.
L’une des failles de sécurité découvertes par les chercheurs de Royal Holloway a permis à un attaquant sur le réseau de réorganiser les messages provenant d’un client vers les serveurs de Telegram. Bien que cette faille ne soit pas particulièrement dangereuse, les chercheurs ont noté qu’elle était triviale à réaliser.
Les chercheurs ont également examiné de plus près les clients de Telegram pour Android, iOS et ordinateur de bureau, où ils ont découvert un code pouvant être utilisé pour récupérer des messages cryptés en texte brut. Cependant, pour mener une attaque exploitant cette faille, un attaquant devrait envoyer des millions de messages soigneusement conçus à une cible potentielle, ce qui rend cela presque impossible.
Sommaire
Toujours sécurisé
Les chercheurs de Royal Holloway ont découvert un total de quatre vulnérabilités dans le protocole MTProto de Telegram et ses clients et les ont divulguées à l’équipe de développement de l’entreprise en avril.
Depuis lors, Telegram a mis à jour son application de messagerie cryptée et aucun des défauts ne présente désormais de risque pour les utilisateurs de l’entreprise.
Dans un nouveau billet de blog, Telegram a fourni plus de détails sur le travail des chercheurs et les modifications qu’il a apportées pour corriger les défauts, en déclarant :
« Les dernières versions des applications officielles de Telegram contiennent déjà les changements qui rendent les quatre observations faites par les chercheurs non pertinentes. Dans l’ensemble, aucun des changements n’était critique, car aucun moyen de déchiffrer ou de falsifier les messages n’a été découvert. »
Via Gadgets360
