La messagerie Telegram est-elle réellement sécurisée ?

Telegram est au cœur de l’actualité depuis ce week-end et l’arrestation de Pavel Durov, son fondateur et patron, à son arrivée à Paris. La messagerie utilisée par un milliard de personnes se présente volontiers comme « sécurisée », mais est-ce réellement le cas ?

L’interpellation de Pavel Durov samedi 24 août à l’aéroport du Bourget repose sur les suspicions de la justice concernant les activités criminelles qui s’organisent sur Telegram : partage de contenus pédopornographiques, trafic de drogue et d’armes… Cette arrestation, qui provoque bien des remous, remet sous les projecteurs une promesse de la messagerie, qui est même érigée en argument de vente : « les messages Telegram sont chiffrés », comme l’affirme la page d’accueil de l’application.

Le chiffrement de Telegram en question

Les soupçons de la justice ne reposent pas sur du vent, du moins on peut le penser au vu de l’interpellation de Pavel Durov, donc les enquêteurs doivent avoir en leur possession des conversations Telegram compromettantes. Cela signifie que ces messages sont facilement accessibles, et en tout cas pas chiffrés de bout en bout (E2E) : si c’était réellement le cas, les conversations ne seraient accessibles qu’aux seuls correspondants, il serait impossible de les intercepter.

Il faut savoir que par défaut, les messages ne sont pas chiffrés de bout en bout sur Telegram. Pour bénéficier de la confidentialité des échanges, il faut lancer ce que l’application appelle un « échange secret » : après avoir sélectionné le correspondant, il faut choisir l’option « Échanger en secret » dans le menu des options. Et ensuite attendre que le correspondant se connecte, puisqu’il est impossible de discuter sans qu’il soit présent devant l’app.

Ces échanges secrets ne concernent que les conversations avec un seul correspondant ; les discussions à plusieurs ne sont pas prises en charge par le chiffrement de bout en bout. On est donc très loin de ce que proposent des messageries concurrentes, comme Signal, WhatsApp ou Messenger de Meta, ou encore iMessage d’Apple, qui sont chiffrées de bout en bout par défaut.

Telegram est bien plus qu’une « simple » messagerie, c’est devenu au fil du temps une sorte de réseau social avec des fonctions comme les canaux qui permettent de diffuser des messages publics à une large audience. Le chiffrement de bout en bout n’a aucun intérêt dans ce cas, et c’est le cas aussi des groupesTelegram qui peuvent accueillir jusqu’à 200 000 personnes. Dans ces conditions, on peut comprendre que l’app ne choisisse pas le chiffrement E2E par défaut, mais il s’agit de ne pas oublier d’activer les échanges secrets pour les discussions privées.

En mai dernier, Pavel Durov avait lancé une attaque particulièrement virulente contre Signal, dont le protocole de chiffrement de bout en bout est largement utilisé — dans WhatsApp et Messenger, mais aussi dans Skype et Google Messages. Il laissait entendre que ces messageries ne pouvaient pas développer leur propre protocole indépendant des interférences du gouvernement américain. Sous-entendu : il y aurait des portes dérobées dans le protocole Signal. Mais d’abord, quid d’Apple et de son protocole E2E pour iMessage ?

Le hic, c’est qu’il n’existe aucune preuve de ce que Durov avance.
Ce dernier fait peut-être référence aux messages Signal versés dans le dossier judiciaire concernant Sam Bankman-Fried, le fondateur de FTX condamné à 25 ans de prison. Mais comme l’explique The Register, il est plus que probable que ces fameux messages aient tout simplement été transmis par les principaux intéressés.

Des experts comme le cryptographe Matthew Green, professeur à l’université Hopkins, nourrissent aussi des doutes concernant le protocole de chiffrement E2E utilisé par Telegram baptisé MTProto 2.0. Il est qualifié d’« inhabituel » en raison du manque de détails et précisions de la part de Telegram.

Aucune messagerie et aucun protocole de chiffrement E2E ne sont parfaits, il peut exister des bugs et des failles de sécurité. Et la question des métadonnées (les données d’utilisation du service : qui l’utilise, avec qui ils communiquent et quand) reste posée, car elles ne sont pas chiffrées de bout en bout. Et elles peuvent être très utiles pour les forces de l’ordre (et d’autres officines), même quand le contenu des conversations reste hors de portée. C’est le cas chez Telegram comme chez les autres messageries.


Read Previous

Sur WhatsApp, vous n’aurez bientôt plus besoin de partager votre numéro de téléphone

Read Next

Fortnite de nouveau jouable sur iPhone en Europe grâce à l’Epic Games Store

Leave a Reply

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Most Popular