Le principe de Telegram est d'assurer la sécurité et la confidentialité des échanges de ses utilisateurs. Pour autant, cette solution de messagerie chiffrée n'est pas exempte de vulnérabilités. En 2018, un exploit zero day avait par exemple été découvert par Kaspersky permettant de diffuser un malware de cryptominage ou insérer une porte dérobée sur le système cible. Dernièrement, Ahmed Hassan, chercheur indépendant en sécurité, a montré un moyen pour un hacker de localiser avec très grande précision un utilisateur de Telegram. Si l'option People Nearby permet de connaitre le nombre de km ou mètres séparant un utilisateur d'un autre, elle ne fait pas remonter leur position exacte mais cela est possible.
Pour réaliser ce hack, Ahmed Hassan explique avoir utilisé l'application GPS Spoof et un terminal sous Android 7. « Après cela, collectez 3 emplacements d'un utilisateur pour le démasquer. Usurper l'emplacement près de l'utilisateur dans un rayon de 7 miles. C'est la limite que Telegram a mis en place. L'utilisateur ciblé vit à Bay Ridge, alors j'ai usurpé l'adresse de la région de Bay Ridge. Recueillez ensuite la distance entre cette personne et ce point. Répétez trois fois l'opération. Ouvrez Google Earth Pro, recherchez la latitude, la longitude des emplacements usurpés et utilisez la règle pour dessiner un cercle avec la destination de l'utilisateur cible à partir de chaque emplacement ».
Une technique de hack déjà éprouvée dans l'application Line
Pour découvrir ensuite où se trouve exactement un utilisateur, il suffit de considérer le point d'intersection des trois cercles. « Malheureusement, le défaut de confidentialité des fonctions de Telegram peut séduire beaucoup d'escrocs qui usurpent cette fonctionnalité qui permet aux utilisateurs de créer des groupes locaux dans une zone géographique », poursuit Ahmed Hassan.
La technique de hack utilisée s'avère être la même que celle employée par le chercheur dans l'application de communications Line qui lui avait permis de trianguler la position d'un utilisateur en usurpant les coordonnées de latitude et de longitude. A l'époque, Ahmed Hassan avait fait remonter à Line cette vulnérabilité et avait d'ailleurs été rémunéré 1 000 dollars pour sa découverte. Cela sera-t-il le cas avec Telegram ? Rien n'est moins sûr : ayant pris contact avec le fournisseur, ce dernier lui a répondu que cette faille ne faisait pas partie de son programme de chasse aux bugs.
Commentaire