Telegram - Faux sentiment de sécurité

Le forum
1

Salut tout le monde :space_invader:,

Je voulais ouvrir un thread sur Telegram, l’une des apps de messagerie les plus populaires et controversées en matière de sécurité. On l’utilise souvent en pensant qu’elle est super sécurisée, mais il y a des failles et des choix techniques discutables qu’il faut connaître.

:one: Protocole de chiffrement propriétaire (MTProto)**

Telegram utilise son propre protocole, MTProto, au lieu d’opter pour des solutions éprouvées comme Signal Protocol.

:red_circle: Problème :

  • Pas open-source dans sa totalité, difficile d’auditer complètement.
  • Plusieurs experts en cryptographie ont critiqué sa complexité inutile et son manque de transparence.
  • Des bugs historiques ont montré que la conception n’est pas à l’épreuve des exploits sophistiqués.

:mag_right: Implication :

Si MTProto est cassé ou contient des vulnérabilités, tous vos messages non chiffrés de bout en bout sont en danger.

:two: Pas de chiffrement de bout en bout par défaut**

Contrairement à Signal ou WhatsApp, Telegram ne chiffre pas par défaut les conversations de bout en bout (E2EE).

:red_circle: Problème :

  • Les chats « classiques » sont chiffrés uniquement entre l’utilisateur et les serveurs de Telegram.
  • En théorie, Telegram peut accéder à vos messages stockés sur leurs serveurs.

:mag_right: Implication :

  • Vos messages peuvent être demandés légalement par des gouvernements.
  • Les employés malveillants (ou des hackers) pourraient potentiellement y accéder.

:bulb: Solution temporaire : Utilisez les « chats secrets », mais même là, on revient au problème du protocole MTProto.

:three: Centralisation des serveurs

:red_circle: Problème :

  • Telegram repose sur une infrastructure centralisée, contrairement à des solutions décentralisées comme Matrix.
  • Les serveurs sont situés dans plusieurs pays, mais les clés de chiffrement restent sous leur contrôle.

:mag_right: Implication :

  • Une attaque ciblée ou un hack réussi sur leurs serveurs pourrait exposer une énorme quantité de données.
  • Dans des régimes autoritaires, il suffit qu’un gouvernement exerce une pression sur Telegram pour obtenir des infos sensibles.

:four: Absence de chiffrement des métadonnées

:red_circle: Problème :

  • Telegram ne chiffre pas les métadonnées (qui a envoyé quoi, à qui, quand).
  • Ces données permettent de tracer les relations entre utilisateurs et leurs habitudes de communication.

:mag_right: Implication :

Même sans lire vos messages, un attaquant ou un gouvernement peut cartographier votre réseau social, identifier vos contacts, ou détecter des comportements sensibles.

:five: Risques liés aux bots et aux fonctionnalités avancées

:red_circle: Problème :

  • Les bots Telegram, bien qu’utiles, peuvent collecter vos données. Beaucoup de ces bots ne sont pas développés par Telegram, ce qui amplifie les risques.
  • Certaines fonctionnalités comme les groupes publics ou les chaînes exposent davantage vos informations.

:mag_right: Implication :

  • Les utilisateurs peuvent être ciblés par des campagnes de phishing ou d’ingénierie sociale via ces bots.
  • Des failles dans l’API des bots pourraient être exploitées pour extraire des données.

:six: Faux sentiment de sécurité

:red_circle: Problème :

Telegram est souvent perçu comme ultra-sécurisé, mais cette réputation est plus un mythe marketing qu’une réalité. Beaucoup pensent être protégés juste parce qu’ils l’utilisent.

:mag_right: Implication :

  • Les utilisateurs partagent souvent des infos sensibles ou organisent des activités (légales ou non) en pensant que tout est parfaitement sécurisé, ce qui peut entraîner des conséquences graves.

Alors, faut-il abandonner Telegram ?

Pas forcément, mais :

  1. Ne considérez pas Telegram comme une messagerie totalement sécurisée.
  2. Privilégiez les alternatives comme l’utilisation de PGP combiné a TOR, Signal ou Matrix pour des conversations ultra-sensibles.
  3. Évitez de partager des infos critiques dans des chats non E2EE.
  4. Soyez prudent avec les bots, groupes publics et fichiers partagés.

:speech_balloon: Votre avis ?

Vous avez remarqué d’autres failles ou avez des conseils à partager ? Je suis curieux de voir vos retours et vos expériences avec Telegram ! :eyes:

2 « J'aime »
2

Alors, personnellement, je n’ai rien à dire de particulier. J’aurais bien conseillé l’utilisation d’un proxy Tor couplé avec un numéro éphémère ou une carte prépayée pour préserver l’identité de l’utilisateur.
Mais en vrai, je trouve que tu as tout résumé : en fonction de notre activité, il vaut mieux privilégier des alternatives moins opaques.

Par ailleurs, je te remercie pour ce post, qui est très agréable à lire.
Ça fait plaisir de pouvoir consulter un contenu aussi qualitatif !

3

Merci pour ton retour, ça fait super plaisir ! :blush: Tu as raison, l’utilisation d’un proxy Tor avec un numéro éphémère est une excellente idée pour renforcer l’anonymat, malheureusement peut pratique d’avoir une numéro éphémère. Comme tu dis, le choix des outils dépend vraiment du contexte et du niveau de risque.

Merci encore pour ton message :wave:

4

VPS+VPN+ anonymous number on toncoin blockchain

et je pense que la sava etre sacrement compliquer pour qu’on te donne ta vrai geolocalisation