Telegram anonyme : la vérité sur la sécurité des communications virtuelles
2016-10-18 19:39:07
Sur:
Est-il possible aujourd'hui de garantir l'anonymat absolu des communications ? Cette question est devenue encore plus d'actualité après les révélations de Snowden. C'est le concept de sécurité que Pavel Durov a gardé à l'esprit lorsqu'il a créé Télégram anonyme avec son frère Nikolai. Selon les déclarations des développeurs, la messagerie en question est capable de fournir une sécurité à la fois contre les pirates informatiques ordinaires et les actions des agences de renseignement gouvernementales. Mais est-ce vraiment le cas ? Nous allons le découvrir ci-dessous.
  ;
Paramètres de base de la sécurité des informations
L'application est basée sur un développement innovant - il s'agit du protocole MTProto qui implique l'utilisation de plusieurs protocoles de cryptage. Les algorithmes suivants sont utilisés pour la sécurité des données :
DH-2048, RSA-2048 (pour l'autorisation et l'authentification);
AES (pour les messages transmis);
SHA-1, MD5 (algorithmes de hachage cryptographique);
  ;
  ;
Lors de la transmission des messages, le cryptage est effectué au moyen de l'algorithme AES avec une clé connue du client et du serveur. Parallèlement, la protection contre l'interception des messages par le serveur n'est assurée que dans un mode anonyme spécial de Telegram appelé Secret Chats, dans lequel les participants disposent d'une clé commune connue d'eux seuls. Contrairement au mode standard, le chiffrement de bout en bout exclut la possibilité de déchiffrer les messages et l'historique des conversations n'est stocké que sur les appareils des utilisateurs.
  ;
Organisation de concours de recherche de failles
Depuis l'arrivée sur le marché de ce messager anonyme (août 2013), ses développeurs et Pavel Durov en particulier ont commencé à organiser les concours entre les experts en cryptographie afin de révéler les failles de sécurité.
  ;
Le premier projet de ce type a eu lieu à la fin de l'année 2013. La tâche des concurrents consistait à décrypter la conversation de Pavel Durov et de son frère dans un chat secret en utilisant l'échange de données cryptées entre le serveur et l'application. Quelques jours seulement après le début du concours, l'un des participants a réussi à trouver une faille dans le système. Il s'agit du fait qu'un utilisateur a reçu les paramètres d'une clé du serveur sans vérification. Ce bogue réduisait l'intégrité cryptographique et permettait d'exécuter une attaque MITM cachée. Bien que cette personne n'ait pas réussi à décrypter la conversation entre Pavel et Nikolaï, elle a reçu la moitié d'une redevance, à savoir 100 000 dollars.
  ;
.
  ;
Indépendamment de la sociabilité des développeursʼ et de leur volonté de révéler les failles de sécurité par des efforts combinés, de nombreux experts sont sceptiques quant à ce type de concours. L'absence de gagnants n'est pas encore une garantie de sécurité absolue, car les conditions sont fixées par un développeur, mais l'analyse est souvent effectuée par des personnes au hasard. En outre, 200 000 dollars représentent une petite somme d'argent pour des experts en cryptographie, et il est donc peu probable que les meilleurs représentants participent à de tels concours.
  ;
L'anonymat de Telegram permet-il d'assurer une sécurité totale des communications ?
L'argument de base des opposants à l'application en question consiste à lier un utilisateur à son numéro de téléphone. La question qui se pose est de savoir si cette messagerie peut être considérée comme anonyme si le serveur contient des données téléphoniques qui peuvent pratiquement tout dire sur une personne, y compris les informations suivantes :
nom complet;
coordonnées géographiques exactes;
contacts;
données personnelles, etc.
  ;
  ;
L'authentification s'effectue au moyen d'un message texte dans lequel est indiqué un code de vérification de la connexion à usage unique. L'absence de mot de passe est encore plus alarmante. En d'autres termes, il suffit à l'utilisateur de saisir un code figurant dans le message pour se connecter. Le service est caractérisé par de nombreux algorithmes de cryptage compliqués, mais il n'a pas de mot de passe élémentaire. Il est donc possible de se connecter au compte du client par le biais de l'interception de messages textuels (ce qui n'est pas d'une extrême difficulté pour les services de renseignement).
  ;
Certes, le stockage des informations sur les plates-formes protégées des serveurs américains offre une certaine garantie aux utilisateurs. Cependant, le simple fait que les informations personnelles d'un client puissent être accessibles à un tiers contredit l'idée d'un anonymat absolu. En outre, les récents événements survenus aux États-Unis (lorsqu'un compte de courrier électronique appartenant à Hillary Clinton, candidate à l'élection présidentielle, a été piraté à la suite d'une attaque informatique) sont révélateurs de la vulnérabilité des systèmes de sécurité informatique modernes.
  ;
Conclusion
Il ne fait aucun doute que Telegram dispose d'algorithmes de cryptage complexes qui permettent d'atteindre un niveau élevé de sécurité des données lors de la communication en mode secret. En même temps, le numéro de téléphone obligatoire ne permet pas de parler de sécurité absolue et de confirmer que les informations ne seront pas accessibles à des tiers à la suite d'une attaque de piratage.
  ;
  ;
En résumé : cela vaut-il la peine d'utiliser l'application en question ? Il s'agit d'une variante parfaite pour les utilisateurs qui souhaitent obtenir un service rapide et pratique à des fins de communication privée. Cependant, pour les personnes paranoïaques qui veulent être sûres de la sécurité absolue de leurs conversations et de leurs données personnelles, Telegram ne peut pas le garantir. Par ailleurs, l'existence d'une autre messagerie offrant de telles garanties est aujourd'hui incertaine.