Telegram a résolu un grave problème de confidentialité avec les médias autodestructeurs
Dhiraj Mishra, chercheur en sécurité, a partagé avec Ordinateur qui bipe découvertes intéressantes de deux bogues de sécurité dans l'application de messagerie Telegram désormais corrigée pour macOS. Ces problèmes ont empêché l'application de supprimer correctement les médias d'autodestruction dans les discussions secrètes et de stocker le code d'accès local en texte brut.
Le premier problème concerne le mécanisme d'autodestruction des médias dans les chats secrets (ceux-ci sont sécurisés avec des chats chiffrés de bout en bout qui ne se synchronisent pas entre les appareils). L'idée principale de cette fonctionnalité est d'envoyer "en toute sécurité" un fichier qui disparaîtra automatiquement et complètement sans aucune trace de l'appareil d'un destinataire après un délai spécifié.
Il s'est avéré que Telegram avait divulgué un chemin vers le stockage sandbox où il conserve les médias reçus des discussions régulières et secrètes. Il était relativement facile d'extraire ce chemin et d'obtenir les copies du média même après que l'application ait supprimé tous les fichiers d'autodestruction reçus. Vous pouvez regarder Dhiraj Mishra démontrer ce bug dans la vidéo ci-dessous.
Un chercheur a également découvert que Telegram pour macOS stockait un mot de passe local en texte brut sous forme de fichier JSON. Encore une fois, vous pouvez voir ce bug en action dans la vidéo de Dhiraj.
Dhiraj a informé Telegram de ses découvertes le 26 décembre 2020, et les développeurs les ont rapidement corrigées dans Telegram 7.4. Ils ont également accordé au chercheur une prime de 3 000 $.
En 2021, Telegram connaît une importante migration d'utilisateurs de WhatsApp après que ce dernier se soit retrouvé dans un autre scandale de confidentialité. Avec plus d'attention sur Telegram et ses politiques de protection de la vie privée, il n'est pas surprenant que les chercheurs découvrent des bogues et des problèmes jusque-là inconnus. La bonne chose est que les développeurs réagissent rapidement et corrigent ces bogues. Pourtant, cette histoire montre que même les meilleurs services ne sont pas à l'abri des bugs et des erreurs.