Les logiciels, quelle que soit leur sécurité, risquent très souvent d'être mal utilisés, piratés ou utilisés comme outil pour pirater d'autres personnes. La plupart du temps, les pirates informatiques exploitent des fonctionnalités facilement disponibles et massivement utilisées à des fins malveillantes. C’est ce qu’un chercheur en cybersécurité a récemment démontré avec l’application chiffrée Telegram.Telegram Messenger est une application de messagerie pour Android et iOS qui permet de communiquer de façon sécurisée. L’application sécurise les appels et les échanges de messages, photos, vidéos et documents en utilisant ce que l'on appelle un "chiffrement de bout en bout". Mais cela n’a plus tout son sens si une simple fonction de l’application peut permettre de localiser avec précision les utilisateurs.
En effet, l'application Telegram permet aux pirates informatiques de trouver facilement votre position précise lorsque vous utilisez un appareil Android et que vous activez une fonction qui permet aux utilisateurs qui sont géographiquement proches de vous de se connecter. La vulnérabilité existe également sur certains iPhone. Le chercheur, qui a découvert la vulnérabilité de divulgation d’emplacement et qui l'a signalée de façon responsable aux développeurs de Telegram, a déclaré que ces derniers n'avaient pas l'intention de la corriger.
Le problème provient d'une fonctionnalité appelée "People Nearby" (Personnes à proximité). Par défaut, elle est désactivée. Lorsque les utilisateurs l'activent, leur distance géographique est indiquée aux autres personnes qui l'ont activée et qui se trouvent dans la même région géographique (ou qui usurpent leur emplacement). Lorsque l'option "Personnes à proximité" est utilisée comme prévu, il s'agit d'une fonction utile qui ne pose que peu ou pas de problèmes de confidentialité. Toutefois, une notification indiquant qu'une personne se trouve à 1 kilomètre ou 600 mètres laisse toujours les harceleurs deviner où, précisément, vous vous trouvez.
Heureusement, les gens doivent activer cette fonction, car elle est automatiquement désactivée après la mise à jour. Pour cela, tout le monde n'est donc pas susceptible d'être piraté. Il y a un problème cependant. Ce n’est pas tous les utilisateurs qui sont conscients qu’en activant "People Nearby", ils partagent ainsi leur emplacement, voire leur adresse personnelle.
Voici, ci-dessous, la réponse des développeurs de Telegram, lorsque le chercheur indépendant Ahmed Hassan leur a envoyé la preuve de la vulnérabilité sous forme d’un rapport vidéo :
« Merci de nous avoir contactés. Les utilisateurs dans la section "People Nearby" partagent intentionnellement leur emplacement, et cette fonction est désactivée par défaut. On s'attend à ce qu'il soit possible de déterminer l’emplacement exact sous certaines conditions. Malheureusement, ce cas n'est pas couvert par notre programme de prime aux bogues ».
Hassan dit avoir gagné une prime lorsqu’il a découvert pareille vulnérabilité dans l’application de messagerie Line qui dispose, elle aussi, de la même fonction "People nearby". Dans ce premier cas, les développeurs ont résolu le problème.
La vulnérabilité dans la fonction "People Nearby" de Telegram
En utilisant un logiciel facilement accessible, Hassan a pu envoyer aux serveurs de Telegramtrois faux lieux autour de l'emplacement approximatif de la cible, à partir d'un téléphone Android "rooté". Ce faisant, il a pu améliorer la précision de l'emplacement de la cible en réduisant le rayon de sa localisation géographique. Ainsi, en mesurant la distance correspondante signalée par les personnes à proximité, il est capable de localiser précisément l'emplacement d'un utilisateur.
Mais il semble que les problèmes de partage de localisation de l'application ne s'arrêtent pas à la seule fonction. Telegram donne également aux utilisateurs la possibilité de créer des groupes locaux en utilisant des emplacements géographiques – comme un groupe communautaire dans une banlieue spécifique par exemple. Ces groupes sont aussi particulièrement vulnérables aux pirates informatiques, selon le chercheur. Toute personne ayant une connaissance suffisante de la fonction pourra usurper son emplacement, cracker ces groupes et ensuite y vendre de faux investissements en bitcoins, des outils de piratage, des numéros de sécurité sociale volés et d'autres escroqueries.
« La plupart des utilisateurs ne comprennent pas qu'ils partagent leur emplacement, et peut-être leur adresse personnelle », a écrit Hassan dans une déclaration par courriel. « Si une femme utilise cette fonctionnalité pour discuter avec un groupe local, elle peut être traquée par des utilisateurs indésirables ».
La vidéo de démonstration que le chercheur a envoyée à Telegram a montré comment il a pu discerner l'adresse d'un utilisateur de la fonction "People Nearby" lorsqu'il a utilisé une application gratuite GPS Location Spoofer pour faire son rapport sur seulement trois endroits différents. Il a ensuite dessiné un cercle autour de chacun des trois endroits avec un rayon de la distance signalée par Telegram. La position précise de l'utilisateur était l'endroit où les trois cercles se croisaient. Hassan n’a pas partagé la vidéo, mais la capture d'écran ci-dessous en donne cependant une idée générale.
La fonction "People Nearby" représente l’une des plus grandes menaces pour les utilisateurs d'appareils Android, car ils signalent la localisation d'un utilisateur avec suffisamment de granularité pour que l'attaque de Hassan fonctionne. L'iOS 14, qui vient de sortir, ne permet en revanche aux utilisateurs de divulguer qu'une approximation de leur localisation. Selon Hassan, régler ce problème ne serait pas difficile d'un point de vue technique. Il suffit généralement d'arrondir les indications des emplacements au kilomètre près et d'ajouter quelques bits aléatoires.
Les conséquences sur la vie privée de cette fonction de Telegram nous rappellent que les fonctionnalités peuvent souvent être utilisées de manière abusive, sans que les personnes qui les développent ne s'en rendent compte. La meilleure façon de s'assurer que votre adresse reste privée est de désactiver le partage de localisation pour les applications qui ne sont pas utilisées.
Source : Blog d’Ahmed Hassan
Et vous ?
Que pensez-vous de cette vulnérabilité de Telegram ? « On s'attend à ce qu'il soit possible de déterminer l’emplacement exact sous certaines conditions », dit l’équipe de sécurité de Telegram. Quel commentaire en faites-vous ? Pensez-vous que Telegram devrait corriger la vulnérabilité, ou faut-il plutôt encourager les utilisateurs à désactiver la fonction "People Nearby" lorsqu’elle n’est pas utilisée ? Voir aussi :
Telegram Desktop serait victime d'un malware baptisé TeleGrab, qui vole les fichiers de cache et fichiers clés de l'application de messagerie France : 500 commissariats seront bientôt équipés d'un outil pour aspirer les données d'un smartphone en 10 minutes, des associations craignent des dérives Une entreprise israélienne d'espionnage numérique affirme pouvoir accéder aux données de l'application Signal, considérée comme l'application mobile la plus chiffrée