Une petite équipe internationale de recherche sur la sécurité de l’information a mené une analyse détaillée de la sécurité du messager Telegram, mondialement populaire. Les cryptologues de l’ETH Zurich et du Royal Holloway College (Université de Londres) ont pu identifier plusieurs vulnérabilités. Cependant, il n’y a pas de danger immédiat pour la plupart des plus de 570 millions d’utilisateurs de Telegram.
Le professeur Kenny Paterson et le Dr. Igors Stepanovs de l'ETH Zurich et le professeur Martin Albrecht et la doctorante Lenka Mareková de l'Université de Londres. Il faut dire d’emblée une chose : une analyse détaillée de la sécurité cryptographique d’un messager de cette taille était plus que attendue. Les quatre vulnérabilités cryptographiques découvertes par les cryptologues montrent clairement que le système de Telegram est clairement inférieur aux normes de sécurité d'autres protocoles de chiffrement couramment utilisés tels que Transport Layer Security (TLS).
Bei der ersten hier beschriebenen Sicherheitslücke geht es darum, dass Angreifer im Netzwerk die Abfolge der Nachrichten manipulieren können, die vom Client an einen der von Telegram weltweit betriebenen Cloud-Server gesendet werden. Die Kryptologen der ETH Zürich stellen fest: «Wenn also jemand die Reihenfolge der Nachrichten ‹Ich sage `ja` zu?, ‹Pizza!›, ‹Ich sage `nein, zu, Verbrechen`› verändern kann, könnte aus dem ‹Ja› zum Pizza essen plötzlich ein ‹Ja› zu einem Verbrechen werden.» Die zweite bei der Sicherheitsanalyse gefundene Schwachstelle ist zwar nur theoretischer Natur, erwähnen muss man sie aber trotzdem. Ein Netzwerkangreifer könnte demnach theoretisch herausfinden, welche von zwei Nachrichten von einem Client oder von einem Server verschlüsselt ist. Zugegeben klingt das jetzt erst einmal ziemlich dramatisch. Allerdings würde es einen enormen Aufwand für Angreifer bedeuten, diese in der Sicherheitsanalyse gefundene Schwachstelle auszunutzen. Gemäss den Sicherheitsexperten müsste ein Angreifer dafür zuerst Millionen sorgfältig erstellter Nachrichten an sein Ziel senden und dabei winzigste Unterschiede in der Zustelldauer der jeweiligen Antworten ermitteln. Die Wissenschaftler sind sich dennoch sicher, dass man auch diese kryptografische Schwachstelle unbedingt ernst nehmen muss.
Cependant, si une telle attaque réussissait, elle aurait des conséquences dévastatrices sur la confidentialité des messages Telegram et bien sûr sur leurs utilisateurs.
In der letzten gefundenen Sicherheitslücke geht es um den sehr wichtigen Schlüsselaustausch zwischen User-Client und Telegram-Server. Da von Telegram standardmässig keine «End-to-End» Verschlüsselung bereitgestellt wird, ist gerade diese Verbindung für jeden Nutzer der Messenger-Plattform sehr wichtig. Denn bei einem erfolgreichen Angriff, so stellen die Kryptologen fest, könnte sowohl die Vertraulichkeit als auch die Integrität unserer Kommunikation nachhaltig verletzt werden. Allerdings sagen auch hier die Wissenschaftler, dass ein aktives Ausnutzen dieser Sicherheitslücke sehr schwierig wäre:
Heureusement, cette méthode d’attaque est également relativement difficile à mettre en œuvre, car l’attaquant devrait envoyer des milliards de messages à un serveur Telegram en quelques minutes.
Comme d'habitude, l'équipe de recherche a informé le messager des failles de sécurité trouvées 90 jours avant la publication. Telegram a désormais répondu aux problèmes de sécurité signalés et les a résolus avec des mises à jour logicielles régulières. Comme déjà mentionné au début, selon les experts, il n'y a pas de danger immédiat pour la plupart des plus de 570 millions d'utilisateurs de Telegram dans le monde. Selon les chercheurs, l'incident révèle également une approche douteuse de la part des développeurs de Telegram lors de la résolution de ces problèmes. Citation (traduite) du billet de blog:
Nous avons été informés par les développeurs de Telegram qu'ils ne publient pas de versions dédiées à la sécurité ou à la correction de bogues. La seule exception concerne les correctifs pour une mise à jour incorrecte précédente. L'équipe de développement nous a également indiqué qu'elle ne souhaitait pas émettre d'avis de sécurité au moment de l'application des correctifs, ni s'engager sur une date de sortie pour des correctifs spécifiques. En conséquence, les correctifs ont été déployés dans le cadre des mises à jour régulières de Telegram.
« Nous avons été informés par les développeurs de Telegram qu'ils ne publient pas de versions de sécurité ou de correction de bogues, à l'exception des corrections de crash immédiates après la publication. L’équipe de développement nous a également informé qu’elle ne souhaitait pas émettre d’avis de sécurité au moment du patch…” https://t.co/2eETQyOwBg
– Nicolas J. Percoco (@c7five) 16 juillet 2021
Selon Telegram lui-même, les failles de sécurité n’étaient pas critiques. Peut-être que cela explique aussi l’approche des lacunes mentionnées. Telegram en a un autre pour ça Article de blog publié, qui détaille les problèmes découverts.
Vous pouvez trouver notre chaîne sur Telegram à l’adresse : https://t.me/dravenstales
Plus pour vous:
"Dravens Tales from the Crypt" enchante depuis plus de 15 ans avec un mélange insipide d'humour, de journalisme sérieux - pour l'actualité et de reportages déséquilibrés dans la politique de la presse - et de zombies, garni de beaucoup d'art, de divertissement et de punk rock. Draven a transformé son passe-temps en une marque populaire qui ne peut être classée.
Mon blog n'a jamais été conçu pour diffuser des informations, et encore moins pour devenir politique, mais avec l'actualité, je ne peux pas m'empêcher de capturer ici des informations qui sont autrement censurées sur toutes les autres chaînes. Je suis conscient que la page de conception peut ne pas sembler "sérieuse" à beaucoup à cet égard, mais je ne changerai pas cela pour plaire au "grand public". Toute personne ouverte aux informations non conformes à l'État voit le contenu et non l'emballage. J'ai suffisamment essayé de fournir des informations aux gens au cours des 2 dernières années, mais j'ai rapidement remarqué que peu importe comment c'est "emballé", mais quelle est l'attitude de l'autre personne à son égard. Je ne veux mettre du miel sur la bouche de personne pour répondre aux attentes de quelque manière que ce soit, donc je vais garder ce design car j'espère qu'à un moment donné je pourrai arrêter de faire ces déclarations politiques, car ce n'est pas mon objectif de continuer comme ça pour toujours 
Je laisse à chacun le soin de s'y prendre. Vous êtes invités à copier et distribuer le contenu, mon blog a toujours été sous la Licence WTFPL.
J'ai du mal à décrire ce que je fais réellement ici, DravensTales est devenu un blog culturel, un blog musical, un blog choc, un blog technique, un blog d'horreur, un blog amusant, un blog sur les objets trouvés sur le Web, sur Internet bizarre, un blog poubelle, un blog d'art, un chauffe-eau, un blog zeitgeist au fil des ans , Le blog Scrap et le blog grab bag ont appelé. Tout ce qui est juste ... - et pourtant pas. L'objectif principal du blog est l'art contemporain, au sens le plus large du terme.
Pour assurer le fonctionnement du site, vous êtes invités à Faire un don par carte de crédit, Paypal, Google Pay, Apple Pay ou prélèvement automatique/compte bancaire. Un grand merci à tous les lecteurs et supporters de ce blog !
