Telegram est moins sécurisé que Facebook Messenger d'après le créateur de Signal (màj)

Et si la messagerie russe Telegram n'était pas aussi sûre qu'elle le prétend ? L'une des applications les plus téléchargées et qui concurrence Viber, WhatsApp et autre Messenger a été mise à mal par le patron d'une autre alternative, Signal.

Une application qui a fait sa réputation sur la sécurité

C'est à chaque fois la même histoire. Une panne ou un scandal du côté de Facebook et les clients quittent en masse WhatsApp et Messenger pour se diriger vers des services plus sécurisés comme Signal, Telegram ou même Olvid. Pourtant, d'après le fondateur de Signal, ce n'est pas une bonne idée. Moxie Marlinspike s'est fendu d'un tweet assassin en neuf parties :

C’est incroyable pour moi qu’après tout ce temps, presque toute la couverture médiatique de Telegram l’appelle toujours une “messagerie cryptée”. Telegram possède de nombreuses fonctionnalités intéressantes, mais en termes de confidentialité et de collecte de données, il n’y a pas de pire choix.

Telegram stores all your contacts, groups, media, and every message you've ever sent or received in plaintext on their servers. The app on your phone is just a "view" onto their servers, where the data actually lives.

Almost everything you see in the app, Telegram also sees

2/

— Moxie Marlinspike (@moxie) December 23, 2021

Une faille dans la configuration par défaut

La raison est simple. Telegram sauvegarde tous vos contacts, vos groupes, vos messages et vos pièces jointes en clair sur ses serveurs. Le service peut tout lire sans effort.

Pour prouver son point, Marlinspike propose un simple test.

Supprimez Telegram, installez-le sur un tout nouveau téléphone et enregistrez-vous avec votre numéro. Vous verrez immédiatement tout l’historique de vos conversations, tous vos contacts, tous les médias que vous avez partagés, tous vos groupes. Comment ? Tout était sur leurs serveurs, en clair.

Here's a simple test: delete Telegram, install it on a brand new phone, and register with your number. You will immediately see all your conversation history, all of your contacts, all the media you've shared, all of your groups. How? It was all on their servers, in plaintext

3/

— Moxie Marlinspike (@moxie) December 23, 2021

En fait, Telegram n'est pas sécurisé car le chiffrement du mode "secret" n'est pas activé par défaut, chose qui est comparable à Messenger de Facebook. Sauf que lui n'est pas considéré comme un réseau sûr, précise le patron de Signal.

On remarquera que le fil de tweets ne cite à aucun moment WhatsApp, l'autre messagerie de Meta. Mais ce service est véritablement chiffré de bout en bout et ce, d'office. C'est pour cela qu'on ne retrouve pas automatiquement ses données en changeant de téléphone, il faut préalablement réaliser une sauvegarde manuelle dans l'app.

Voilà donc une belle pique de Signal qui peut se targuer d'avoir attiré un grand nombre de clients récemment et qui se veut de plus en plus grand public, après avoir fait le bonheur des journalistes, lanceurs d'alertes et autres hackers.

Mise à jour du 29/12 :
Telegram nous a contacté pour assurer que le service est sûr. Remi Vaughn nous a expliqué que les contenus sauvés dans le cloud sont totalement chiffrés, tout comme chaque message échangé. De plus, le protocole de chiffrement de Télégram est complètement documenté en ligne et de nombreux chercheurs en sécurité ont testé la sécurité de la messagerie.

Télécharger l'app gratuite Telegram