
Aucun système n’est jamais parfaitement sûr, et ce sont souvent ceux qui clament l’être qui se font piéger, comme le prouve une nouvelle faille de la messagerie sécurisée Telegram. Le chercheur en sécurité Kirill Firsov s’est en effet aperçu que son client Mac conservait des données privées dans son journal syslog.
Le problème réside dans la gestion du presse-papier : tous les éléments collés sont conservés dans le syslog, même dans le mode « secret » avec chiffrement bout à bout. Cette vulnérabilité « concerne uniquement les messages qui ont été copiés-collés », répond Pavel Durov. Agacé, le fondateur de Telegram argue que le presse-papier est de toute manière « ouvert à toutes les apps ».
Cette défense ne tient pas : les gestionnaires de mots de passe, pour ne citer qu’eux, prennent soin de vider le presse-papier après quelques secondes pour éviter qu’il ne soit récupéré par d’autres apps. Une application de messagerie qui n’a d’autre raison d’être que la sécurité et l’intimité pourrait agir de la même manière.
Encore le ferait-elle que cela ne suffirait pas : le nœud du problème est bien que le contenu du presse-papier est enregistré dans un journal syslog. Or une application malveillante pourrait récupérer les journaux, et donc des données qui étaient censées rester secrètes (macOS Sierra empêchera tout accès aux journaux, cela dit). Durov l’admet, et promet que cette vulnérabilité sera bientôt réglée.
Le principal concurrent de Telegram, WhatsApp, ne fait malheureusement pas mieux : le chercheur en sécurité Jonathan Zdziarski a trouvé un problème similaire dans son client iOS. Des messages censés être éphémères restent dans la base de données de l’application, au lieu d’être immédiatement supprimés ou au moins écrasés par de nouveaux messages.
De là, ils peuvent se retrouver dans une sauvegarde iCloud, dont on sait qu’elles sont le point faible de l’édifice sécuritaire d’Apple. « Le principal problème », résume Zdziarski d’une manière qui convient aussi bien à WhatsApp qu’à Telegram, « réside dans le fait que des communications éphémères ne sont pas éphémères sur le stockage local. »
Source :