La réalisation du processus de cryptage des données de Telegram et sa différence avec les autres messageries

Même si la messagerie conçue par Pavel Durov a été lancée bien après ses principaux concurrents tels que WhatsApp et Viber, elle n'a pas tardé à acquérir la réputation d'un des services les plus sûrs. Le cryptage de Telegram basé sur le protocole MTProto du service a permis de créer une application mettant vos messages à l'abri du piratage, ce qui a rendu le messager en question populaire dans le monde entier.   ;

Evaluation de la sécurité

La sécurité des communications virtuelles est déterminée par le classement de l'Electronic Frontier Foundation (EFF). Elle fournit un tableau régulièrement mis à jour dans lequel chaque service est noté de 1 à 7 en fonction du niveau de sécurité des données par rapport à un piratage potentiel.   ;   ; Les conversations secrètes de Telegram utilisant le cryptage de bout en bout (E2E) ont un score maximal de 7, tandis que la conversation standard par défaut a un score de 4. Dans la mesure où les conversations standard laissent des traces sur les serveurs de l'entreprise, elles sont considérées comme potentiellement disponibles pour l'espionnage par des tiers.   ; Jusqu'à récemment, les messageries WhatsApp et Viber n'étaient pas très bien notées par l'EFF - pour être plus exact, leurs notes n'excédaient pas 2. C'est l'influence concurrentielle de Telegram qui a poussé ces entreprises à revoir leur politique de sécurité. À cet égard, il a été décidé de mettre en œuvre le principe du chiffrement de bout en bout, qui est devenu un principe par défaut depuis 2016 et a permis d'obtenir 6 points selon l'EFF. Son essence consiste à stocker les clés nécessaires au chiffrement des messages en n'utilisant qu'un seul appareil. De cette manière, il est nécessaire d'avoir un accès physique à un smartphone pour accéder à l'information.   ; La question se pose : si ce service fondé par Pavel Durov se présente comme la messagerie la plus sûre, pourquoi ne pas rendre tous les chats secrets par défaut, ce qui contribuerait à établir une longueur d'avance dans le classement de l'EFF ? Le fait est que le chiffrement E2E présente une faille : la conversation secrète n'est disponible que sur un appareil particulier, de sorte que son historique n'est stocké que sur un seul appareil également. La politique de l'entreprise est de laisser des options ouvertes aux utilisateurs, car un mode par défaut vous permet d'évaluer votre compte à partir de n'importe quel appareil.   ;

Cryptage des télégrammes basé sur le protocole MTProto

Le protocole MTProto utilise deux couches de cryptage, l'une serveur-serveur et l'autre client-serveur. Son fonctionnement est basé sur les algorithmes suivants :   ;   ;

• AES est un algorithme symétrique de 256 bits établi par le gouvernement américain en tant que norme.
• RSA est un algorithme cryptographique basé sur la complexité de calcul du problème de factorisation des nombres entiers.
• La méthode Diffie Hellman permet à deux interlocuteurs ou plus d'obtenir une clé secrète par le biais d'un canal reniflable mais résistant à l'usurpation d'identité.
• SHA-1 et MD5 sont des algorithmes de hachage utilisés dans de nombreux protocoles et applications cryptographiques pour le hachage sécurisé.

  ; Contrairement au protocole Double Ratchet, qui est utilisé par WhatsApp et a déjà réussi à obtenir l'approbation des experts en sécurité de l'information, les développeurs de MTProto ne sont pas pressés de soumettre leur produit à un audit indépendant. D'une part, cela rend l'algorithme piratable, mais d'autre part, aucune action réussie ayant abouti au décryptage d'un message n'a été enregistrée à ce jour.   ; Les fondateurs de la messagerie déclarent une garantie de sécurité concernant la transmission de données cryptées. Pour confirmer ses dires, Pavel Durov organise de temps en temps des concours où les concurrents se voient proposer de décrypter une conversation entre deux parties. Le prix s'élève à 200 000 dollars, mais aucun pirate n'a encore réussi à lire les messages cryptés. Il est juste de dire que de nombreux experts sont assez sceptiques à l'égard de ces concours, qu'ils considèrent plutôt comme un coup de publicité que comme une véritable preuve de la sécurité du système.   ;

Probabilité d'une violation de compte

Même si l'on considère comme un axiome que MTProto possède les meilleurs paramètres de sécurité parmi les messageries modernes, les intrus sont toujours en mesure de pirater le compte d'un utilisateur. En même temps, le protocole lui-même n'a rien à voir avec ce problème.   ;   ; La faille de sécurité réside dans la technique d'autorisation de l'utilisateur. La procédure donnée est effectuée à l'aide d'un numéro de téléphone réel où un code de vérification de connexion est envoyé par message texte. Cette technique de transfert de données est basée sur la technologie SS7 (Signaling System #7), qui a été développée il y a 40 ans et dont les paramètres de sécurité sont faibles par rapport aux normes actuelles. En théorie, les intrus peuvent être en mesure d'intercepter un code SMS et de pirater un compte. Lorsque Telegram est en mode standard, tous les messages sont stockés sur ses serveurs, de sorte que les pirates peuvent avoir accès à l'ensemble de la conversation d'un utilisateur particulier.   ;   ; Les discussions secrètes sont la clé d'un problème. En cas d'utilisation, une conversation ne peut être lue qu'en cas de vol réel de téléphone, car tous les messages ne sont pas stockés sur le serveur, mais transmis uniquement entre deux appareils.