Les utilisateurs de l’application de messagerie macOS Telegram sont mis en garde contre de potentiels problèmes de confidentialité qui pourraient exposer les fichiers qu’ils partagent avec d’autres personnes. Selon les recherches de Reegun Richard Jayapaul, architecte principal des menaces chez Trustwave SpiderLabs, la fonction d’autodestruction de l’application axée sur la confidentialité peut être contournée pour conserver des fichiers de manière permanente.

 

Le premier problème était que tous les fichiers multimédias envoyés via Telegram étaient stockés dans un dossier cache, même après l’autodestruction d’un message. Cela signifiait qu’un pirate pouvait toujours accéder à ces fichiers, qu’il se fût agit de messages audio ou vidéo, de lieux partagés ou de documents, selon Reegun Richard Jayapaul. Ce problème a été corrigé par Telegram, mais les détails ne sont connus que maintenant car Reegun Richard Jayapaul a refusé de recevoir une récompense de Telegram, qui lui a demandé de garder l’information secrète en échange d’un paiement. C’est également la deuxième fois cette année qu’un chercheur découvre que des fichiers n’ont pas été supprimés efficacement lors de chats autodestructibles dans Telegram, le premier problème ayant été corrigé dans la version 7.4. Le dernier correctif est arrivé dans la version 7.7. « Il est évident que Telegram a l’habitude de laisser derrière lui ces fichiers multimédias censés s’autodétruire », a déclaré Karl Sigler, responsable principal de la recherche en sécurité chez Trustwave SpiderLabs.

Un deuxième problème n’a pas été corrigé par Telegram : la possibilité de contourner la fonction d’autodestruction en récupérant simplement un fichier dans le dossier de cache sans jamais ouvrir le message. Cela pourrait, bien sûr, être fait en prenant des captures d’écran ou des enregistrements d’écran, mais le fait d’aller dans le cache donne l’impression à l’expéditeur que le destinataire n’a pas regardé le message, ce qui le laisse dans l’ignorance de l’existence des fichiers.

« La fonction d’autodestruction est censée être un moyen simple pour les utilisateurs d’envoyer des médias qui se supprimeront d’eux-mêmes. Nous avertissons les utilisateurs qu’ils ne doivent l’utiliser qu’avec des personnes de confiance, car il n’existe aucun moyen pour un logiciel d’empêcher à 100% quelqu’un de sauvegarder une version des messages ou des médias, par exemple en prenant simplement une photo de son écran avec un autre appareil », a déclaré un porte-parole de Telegram, en fournissant un lien vers les conseils aux clients.

« Avec l’aide de chercheurs, nous continuons d’améliorer la fonctionnalité et la sécurité des fonctionnalités de ce type, comme l’ont montré les modifications apportées à l’application de bureau macOS en juin (les autres applications Telegram n’ont pas été affectées). Pour toutes les autres questions, nous accueillons volontiers d’autres suggestions susceptibles d’apporter des solutions supplémentaires ».

 

Article traduit de Forbes US – Auteur : Thomas Brewster

 

<<< À lire également : WhatsApp : cette fonctionnalité “dangereuse” pour vos téléphones >>>