Ouvrir le menu principal

MacGeneration

Recherche

Telegram : la messagerie sécurisée piégée par le presse-papier

Anthony Nelzin-Santos

vendredi 29 juillet 2016 à 09:40 • 59

Logiciels

Aucun système n’est jamais parfaitement sûr, et ce sont souvent ceux qui clament l’être qui se font piéger, comme le prouve une nouvelle faille de la messagerie sécurisée Telegram. Le chercheur en sécurité Kirill Firsov s’est en effet aperçu que son client Mac conservait des données privées dans son journal syslog.

Le problème réside dans la gestion du presse-papier : tous les éléments collés sont conservés dans le syslog, même dans le mode « secret » avec chiffrement bout à bout. Cette vulnérabilité « concerne uniquement les messages qui ont été copiés-collés », répond Pavel Durov. Agacé, le fondateur de Telegram argue que le presse-papier est de toute manière « ouvert à toutes les apps ».

Cette défense ne tient pas : les gestionnaires de mots de passe, pour ne citer qu’eux, prennent soin de vider le presse-papier après quelques secondes pour éviter qu’il ne soit récupéré par d’autres apps. Une application de messagerie qui n’a d’autre raison d’être que la sécurité et l’intimité pourrait agir de la même manière.

Encore le ferait-elle que cela ne suffirait pas : le nœud du problème est bien que le contenu du presse-papier est enregistré dans un journal syslog. Or une application malveillante pourrait récupérer les journaux, et donc des données qui étaient censées rester secrètes (macOS Sierra empêchera tout accès aux journaux, cela dit). Durov l’admet, et promet que cette vulnérabilité sera bientôt réglée.

Le principal concurrent de Telegram, WhatsApp, ne fait malheureusement pas mieux : le chercheur en sécurité Jonathan Zdziarski a trouvé un problème similaire dans son client iOS. Des messages censés être éphémères restent dans la base de données de l’application, au lieu d’être immédiatement supprimés ou au moins écrasés par de nouveaux messages.

De là, ils peuvent se retrouver dans une sauvegarde iCloud, dont on sait qu’elles sont le point faible de l’édifice sécuritaire d’Apple. « Le principal problème », résume Zdziarski d’une manière qui convient aussi bien à WhatsApp qu’à Telegram, « réside dans le fait que des communications éphémères ne sont pas éphémères sur le stockage local. »

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Une bande-annonce pour F1, le film Apple que vous ne verrez pas sur Apple TV+ avant novembre 2026

16:30

• 3


MacWhisper détecte qui parle dans la retranscription d'un enregistrement audio

15:45

• 6


Google Gemini peut utiliser votre historique de recherche pour personnaliser ses réponses

13:00

• 10


Free pourrait écoper d'une sanction après la grosse fuite de données fin 2024

11:30

• 12


Le nouveau MacBook Air M4 a un mode économie d'énergie qui ne réduit pas les nuisances sonores

11:00

• 18


Promo : -100 € sur des MacBook Air M3 déjà soldés

08:45

• 0


Spotify, « l'une des pires choses arrivées aux musiciens » ?

06:25

• 84


Incogni : protégez vos données et évitez les arnaques par SMS en toute simplicité 📍

13/03/2025 à 23:38


Le nouveau TGV encore en USB-A... mais heureusement, il est évolutif

13/03/2025 à 21:45

• 98


Test de l'Insta360 Flow 2 Pro : le meilleur stabilisateur pour iPhone compatible DockKit (encore une fois)

13/03/2025 à 20:59

• 7


Le nouveau Siri montré en 2024 n'aura été qu'une fable et une fumisterie

13/03/2025 à 17:30

• 132


Apple Music Classical est maintenant disponible sur le web

13/03/2025 à 16:30

• 16


Freebox Ultra : Bouygues Telecom accuse Free de publicité mensongère sur le Wi-Fi 7

13/03/2025 à 15:00

• 15


Les promotions sur les iPad Air M2 font de l'ombre aux nouveaux M3

13/03/2025 à 13:52

• 35


Intel s'est trouvé un nouveau CEO

13/03/2025 à 10:37

• 8


Promo : l’adaptateur double USB-C 35 W d’Apple à 50 € au lieu de 65

13/03/2025 à 07:48

• 13