Passer au contenu

La messagerie Telegram est-elle réellement sécurisée ?

Telegram est au cœur de l’actualité depuis ce week-end et l’arrestation de Pavel Durov, son fondateur et patron, à son arrivée à Paris. La messagerie utilisée par un milliard de personnes se présente volontiers comme « sécurisée », mais est-ce réellement le cas ?

L’interpellation de Pavel Durov samedi 24 août à l’aéroport du Bourget repose sur les suspicions de la justice concernant les activités criminelles qui s’organisent sur Telegram : partage de contenus pédopornographiques, trafic de drogue et d’armes… Cette arrestation, qui provoque bien des remous, remet sous les projecteurs une promesse de la messagerie, qui est même érigée en argument de vente : « les messages Telegram sont chiffrés », comme l’affirme la page d’accueil de l’application.

Le chiffrement de Telegram en question

Les soupçons de la justice ne reposent pas sur du vent, du moins on peut le penser au vu de l’interpellation de Pavel Durov, donc les enquêteurs doivent avoir en leur possession des conversations Telegram compromettantes. Cela signifie que ces messages sont facilement accessibles, et en tout cas pas chiffrés de bout en bout (E2E) : si c’était réellement le cas, les conversations ne seraient accessibles qu’aux seuls correspondants, il serait impossible de les intercepter.

Il faut savoir que par défaut, les messages ne sont pas chiffrés de bout en bout sur Telegram. Pour bénéficier de la confidentialité des échanges, il faut lancer ce que l’application appelle un « échange secret » : après avoir sélectionné le correspondant, il faut choisir l’option « Échanger en secret » dans le menu des options. Et ensuite attendre que le correspondant se connecte, puisqu’il est impossible de discuter sans qu’il soit présent devant l’app.

Ces échanges secrets ne concernent que les conversations avec un seul correspondant ; les discussions à plusieurs ne sont pas prises en charge par le chiffrement de bout en bout. On est donc très loin de ce que proposent des messageries concurrentes, comme Signal, WhatsApp ou Messenger de Meta, ou encore iMessage d’Apple, qui sont chiffrées de bout en bout par défaut.

Telegram est bien plus qu’une « simple » messagerie, c’est devenu au fil du temps une sorte de réseau social avec des fonctions comme les canaux qui permettent de diffuser des messages publics à une large audience. Le chiffrement de bout en bout n’a aucun intérêt dans ce cas, et c’est le cas aussi des groupesTelegram qui peuvent accueillir jusqu’à 200 000 personnes. Dans ces conditions, on peut comprendre que l’app ne choisisse pas le chiffrement E2E par défaut, mais il s’agit de ne pas oublier d’activer les échanges secrets pour les discussions privées.

En mai dernier, Pavel Durov avait lancé une attaque particulièrement virulente contre Signal, dont le protocole de chiffrement de bout en bout est largement utilisé — dans WhatsApp et Messenger, mais aussi dans Skype et Google Messages. Il laissait entendre que ces messageries ne pouvaient pas développer leur propre protocole indépendant des interférences du gouvernement américain. Sous-entendu : il y aurait des portes dérobées dans le protocole Signal. Mais d’abord, quid d’Apple et de son protocole E2E pour iMessage ?

Le hic, c’est qu’il n’existe aucune preuve de ce que Durov avance. Ce dernier fait peut-être référence aux messages Signal versés dans le dossier judiciaire concernant Sam Bankman-Fried, le fondateur de FTX condamné à 25 ans de prison. Mais comme l’explique The Register, il est plus que probable que ces fameux messages aient tout simplement été transmis par les principaux intéressés.

Des experts comme le cryptographe Matthew Green, professeur à l’université Hopkins, nourrissent aussi des doutes concernant le protocole de chiffrement E2E utilisé par Telegram baptisé MTProto 2.0. Il est qualifié d’« inhabituel » en raison du manque de détails et précisions de la part de Telegram.

Aucune messagerie et aucun protocole de chiffrement E2E ne sont parfaits, il peut exister des bugs et des failles de sécurité. Et la question des métadonnées (les données d’utilisation du service : qui l’utilise, avec qui ils communiquent et quand) reste posée, car elles ne sont pas chiffrées de bout en bout. Et elles peuvent être très utiles pour les forces de l’ordre (et d’autres officines), même quand le contenu des conversations reste hors de portée. C’est le cas chez Telegram comme chez les autres messageries.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Mickaël Bazoge
Votre opinion
  1. Communiqué Telegram : « Telegram respecte les lois de l’UE, y compris la loi sur les services numériques : sa modération est conforme aux normes de l’industrie et s’améliore constamment. »
    Le PDG de Telegram, Pavel Durov, n’a rien à cacher et voyage fréquemment en Europe. Il est absurde de prétendre qu’une plateforme ou son propriétaire sont responsables d’abus de cette plateforme. »
    « Près d’un milliard d’utilisateurs dans le monde utilisent Telegram comme moyen de communication et comme source d’informations vitales. Nous attendons une résolution rapide de cette situation. Telegram est avec vous tous.

  2. “Edward Snowden: “L’arrestation de Pavel Durov est une atteinte aux droits fondamentaux de l’homme, à savoir la liberté d’expression et d’association. Je suis surpris et profondément attristé que Macron se soit abaissé au point de prendre des otages pour accéder à des communications privées. Cela rabaisse non seulement la France, mais le monde entier.””

  3. “donc les enquêteurs doivent avoir en leur possession des conversations Telegram compromettantes. Cela signifie que ces messages sont facilement accessibles, et en tout cas pas chiffrés de bout en bout (E2E)”

    Jolis liens tirés par les cheveux pour amener l’argument que Telegram n’est pas sécurisé.
    En vrai il n’y a pas besoin d’aller aussi loin : les groupes massifs Telegram (appelés canaux) sont public et leurs conversations accessibles. C’est la partie “réseau social” de l’appli et il y a de grandes chances que les accusations de manque de modération portent là dessus.
    L’autre partie de l’appli est la conversation privée avec un autre utilisateur (et les groupes privés) où on peut choisir d’avoir un chiffrement bout-à-bout ou non.

    Lorsque le chiffrement bout-à-bout n’est pas utilisé (soit le comportement par défaut), c’est un chiffrement client-serveur qui est utilisé. Mais celui-ci est particulier dans le sens où les clés de chiffrement sont dispersés dans plusieurs pays.
    Les autorités d’un seul pays ont donc des difficultés à obtenir les conversations privées car elles doivent elles même se coordonner avec les autres pays qui hébergent les autres clés de chiffrement. C’est l’autre chef d’accusation si j’ai bien compris : la difficulté des autorités françaises d’accéder aux données qui accusent Telegram de ne pas répondre à leur demandes.

  4. Les attaques subies par le fondateur de Telegram et la virulence des accusations qui leur est imputées sont clairement contre productives pour les organes de contrôles (gouvernements, agences de renseignements …) car tout cela porte à croire que Telegram est une app bien plus sécurisée que ses concurrentes qui permettent le partage d’info privée sans opposition avec les services de renseignements, ce qui contredit l’anonymat ou tout du moins la garantie des conversations privées.
    Même si nous ne sommes pas dupe car tout protocole est attaquable, ces péripéties un peu trop surjouées montrent bien la volonté des gouvernements de tout surveiller.

  5. Qu’en est-il de Free qui héberge la moitié des contenus pédopornographiques existants?
    Qu’en est-il de mark zuckerberg interrogé au sénat américain pour sa facilitation des échanges pédocriminels sur ses réseaux ?
    Sont-ce juste ces contenus qui dérangent vraiment ou bien une LIBERTÉ D’EXPRESSION sur des questions touchant aux grands sujets de société qui nous occupent tous ?

Les commentaires sont fermés.