Telegram, une véritable application de messagerie chiffrée ?

 (blog.cryptographyengineering.com)
9 points par GN⁺ 2024-08-26 | 2 commentaires | Partager sur WhatsApp
  • Récemment, le PDG de Telegram, Pavel Durov, a été arrêté par les autorités françaises
  • La plupart des articles décrivent Telegram comme une « application de messagerie chiffrée », ce qui est techniquement vrai mais en pratique trompeur

Telegram utilise-t-il le chiffrement ?

  • Dans les services modernes de messagerie privée, le chiffrement signifie par défaut le chiffrement de bout en bout
  • Telegram ne fournit pas de chiffrement de bout en bout par défaut
  • Le chiffrement de bout en bout n’est possible que si l’utilisateur active lui-même la fonction « chat secret »
  • Cette fonction n’est disponible que pour les conversations en tête-à-tête, et ne peut pas être utilisée dans les discussions de groupe
  • Elle est conçue de façon à être difficile à activer pour les non-spécialistes

Le chiffrement par défaut est-il important ?

  • L’absence de chiffrement par défaut sur Telegram n’est peut-être pas un problème majeur pour beaucoup d’utilisateurs
  • Telegram est souvent utilisé comme un réseau social
  • L’une des fonctionnalités les plus populaires de Telegram est celle des « canaux » et des grands groupes de discussion publics
  • Dans ces discussions publiques, le chiffrement n’a pas beaucoup de sens
  • Mais de nombreux utilisateurs ont besoin d’un chiffrement solide lorsqu’ils échangent des messages privés

Telegram sait que son chiffrement est difficile à utiliser

  • Le chiffrement de Telegram fait l’objet de nombreuses critiques depuis 2016
  • Telegram ne propose toujours pas de chiffrement par défaut, et l’expérience utilisateur ne s’est pas améliorée
  • Le PDG de Telegram, Pavel Durov, présente Telegram comme une « messagerie sécurisée », mais ce n’est pas réellement le cas

Les détails de chiffrement un peu ennuyeux

  • La fonction « chat secret » de Telegram utilise son propre protocole, appelé MTProto 2.0
  • Ce protocole utilise un mode de chiffrement authentifié non standard, avec de nombreux éléments qui soulèvent des questions chez les experts
  • Si le chiffrement n’est pas réellement utilisé, sa solidité a de toute façon peu d’importance

D’autres points à connaître

  • Le chiffrement de bout en bout est un bon outil pour empêcher les fuites de données, mais le problème des métadonnées demeure
  • Les métadonnées incluent qui utilise le service, avec qui les personnes parlent et à quel moment
  • Ces données sont stockées sur les serveurs de Telegram et sont utiles à ceux qui cherchent à les collecter

Le récapitulatif de GN⁺

  • Cet article vise à corriger les malentendus sur les fonctions de chiffrement de Telegram
  • Telegram ne fournit pas de chiffrement de bout en bout par défaut, et l’utilisateur doit l’activer lui-même
  • Le chiffrement de Telegram est difficile à utiliser, et beaucoup d’utilisateurs ne s’en rendent pas compte
  • Le problème des métadonnées demeure, et il concerne tous les réseaux sociaux et toutes les messageries privées
  • Il recommande des messageries offrant un chiffrement par défaut, comme Signal ou WhatsApp

À lire aussi

2 commentaires

 
GN⁺ 2024-08-26
Avis sur Hacker News

  • Certains suggèrent de tester s’il est possible de se connecter à un compte sur un nouvel appareil via la procédure de récupération du mot de passe afin de consulter les anciens messages

    • Si c’est possible, les forces de l’ordre peuvent aussi y accéder

  • Certains estiment que Telegram est plus proche d’un réseau social que d’une messagerie

    • Il existe de nombreux canaux utiles, et Telegram joue un rôle important dans le partage d’informations dans plusieurs pays
    • Vu sous cet angle, l’e2ee (chiffrement de bout en bout) n’est pas si important
    • Alors que la plupart des réseaux sociaux comme Reddit, X et Instagram ferment leurs API, Telegram propose toujours une API gratuite

  • Certains disent que Telegram n’est pas chiffré par défaut et que, même lorsqu’il l’est, il ne faut pas faire confiance aux appareils liés pour des informations sensibles

    • Telegram est actuellement la meilleure plateforme de communication
    • Elle propose de nombreuses fonctionnalités et reste en avance sur les autres plateformes à cet égard
    • Ils espèrent que Telegram continuera à bien se maintenir malgré les événements récents

  • Certains estiment que le vrai problème est que la plupart des utilisateurs non techniques pensent que Telegram est généralement en e2ee

  • Certains comparent la manière dont Telegram propose l’e2ee à la manière dont McDonalds propose des salades

  • Certains disent ne pas bien connaître le chiffrement, mais estiment que l’infrastructure distribuée de Telegram n’est pas mauvaise en soi

    • Se focaliser uniquement sur l’e2ee peut être trompeur
    • Telegram protège les données grâce à une infrastructure distribuée
    • Les données ne peuvent être fournies qu’après examen par plusieurs systèmes juridiques
    • Jusqu’à présent, Telegram n’a jamais divulgué les données des utilisateurs à des tiers

  • Certains disent que ce billet de blog leur donne une bonne ressource à partager avec ceux qui affirment que Telegram est sûr

    • Signal propose une fonctionnalité appelée Sealed Sender, qui permet de réduire dans une certaine mesure les problèmes liés aux métadonnées

  • Certains estiment que les articles sur Telegram relèvent de l’évidence pour les techniciens, mais que la plupart des utilisateurs sont induits en erreur par les journalistes

    • C’est à chacun de décider s’il a besoin de chiffrement ou non
    • Il faut pouvoir faire un choix éclairé

  • Certains se demandent que, si le chiffrement de Telegram est si mauvais, pourquoi Pavel Durov a été arrêté

    • Il a été arrêté pour ne pas avoir coopéré à la répression des activités illégales sur Telegram
    • Les PDG d’autres réseaux sociaux ne sont pas arrêtés
    • Ils se demandent si cela signifie que Telegram n’a pas de porte dérobée

  • Certains disent utiliser principalement Telegram pour les appels audio p2p chiffrés de bout en bout

    • Cette fonctionnalité est excellente