D’un côté, nous avons un nombre croissant de gouvernements qui sont tellement préoccupés par leurs aptitudes à maintenir la sécurité qu’ils tentent d’interdire l’application. D’un autre côté, nous avons des politiciens qui utilisent l’application eux-mêmes en partant du principe que leur vie privée sera protégée mais voient soudainement leurs conversations diffusées dans les médias.
Le 5 juin 2019, le ministre brésilien de la Justice, Sergio Moro, a annoncé que son smartphone avait été piraté. Quatre jours avant, le contenu politiquement compromettant de ses conversations sur Telegram avec un procureur général avait commencé à faire surface et à être utilisé comme source d’information pour des articles dans la presse.
Depuis lors, il est apparu que d’autres hommes politiques brésiliens, dont le président Jair Bolsonaro, et le ministre de l’Economie, Paulo Guedes, figuraient également parmi les 1 000 autres comptes Telegram ciblés, conduisant ainsi à l’arrestation le 23 juillet 2019, de quatre suspects accusés d’être à l’origine de ces attaques.
La messagerie vocale … encore et toujours
Nous allons mettre de côté la nature controversée des données piratées lors de cet incident pour nous concentrer sur la façon dont le piratage a eu lieu en exploitant l’une des faiblesses les plus anciennes, à savoir la messagerie vocale.
La messagerie vocale ? Cela ne fait même pas partie du service Telegram, il n’est donc pas étonnant que certaines personnes se soient fait piéger.
Rappelez-vous, Telegram est déjà vulnérable vis à vis d’attaques de prise de contrôle et de réinitialisation de compte comme celles qui ont perturbé d’autres services, et au cours desquelles les pirates prétendaient être une personne en particulier et obtenaient une nouvelle carte SIM avec le numéro de téléphone de la personne ciblée.
Après cela, il ne vous reste plus qu’à télécharger l’application Telegram et à utiliser le message de vérification SMS pour accéder au compte de l’utilisateur.
Spoofing
Mais selon le témoignage de l’un des suspects arrêtés, Walter Delgatti Neto, il existait un autre moyen, grâce à une vulnérabilité encore plus flagrante, de recevoir ces messages de vérification, à savoir via la messagerie vocale.
L’accès aux boîtes de messagerie vocale s’avère plus simple qu’il n’y parait. Certaines personnes oublient de définir des codes à quatre chiffres et ceux qui ne le font pas peuvent éventuellement se faire piéger par des cybercriminels qui essaient les 10 000 codes possibles.
De nombreux systèmes de messagerie vocale ont réagi en vérifiant que le numéro qui passait effectivement un appel de demande d’accès appartenait bien à l’abonné en question, mais ces numéros pouvaient facilement être falsifiés si l’attaquant connaissait le véritable numéro.
Si un attaquant peut accéder à la messagerie vocale, il peut potentiellement accéder aux messages de vérification, tels que ceux de Telegram, qui sont envoyés sur la messagerie vocale si la cible du pirate est en communication ou ne répond pas trois fois de suite.
Apparemment, cette situation à risque s’est répandue sur les forums, entraînant des fuites concernant de potentielles attaques visant d’autres cibles très en vue, notamment le gouverneur de Porto Rico, Ricardo Roselló, dont la position est devenue intenable après la fuite récente de ses conversations sur Telegram.
Il est important de noter que, selon une présentation faite durant la convention DEFCON l’année dernière, Telegram n’est pas le seul service sécurisé susceptible d’avoir ce type de faiblesse. Tout service permettant à la vérification par SMS d’être délivrée par le biais de la voix (ce que beaucoup font) peut être véritablement à risque.
Quoi faire ?
Telegram a récemment été mis à jour pour atténuer ce type d’attaque. Les utilisateurs ne peuvent désormais demander un code de connexion via un appel que si la vérification en deux étapes a été activée, ce qui nécessite un mot de passe ainsi qu’un code.
Quel que soit le service de messagerie que vous utilisez, nous vous recommandons d’activer la vérification à deux facteurs ou en deux étapes, si elle est disponible, et si vous êtes un utilisateur de la messagerie vocale, assurez-vous qu’elle soit protégée avec un code PIN généré aléatoirement.
Suicide politique ?
Mais le plus grand mystère de tous est pourquoi les politiciens confient-ils des discussions sensibles à un service public exclusif.
C’est après tout une application dont le protocole de chiffrement, MTProto, a été contesté par certains sceptiques, tandis que d’autres ont souligné que les utilisateurs devaient activer manuellement le chiffrement de bout en bout via Secure Chat et espéraient que les serveurs de Telegram soient chiffrés de manière sécurisée.
Très probablement, les politiciens sont comme presque tout le monde : ils se basent sur la réputation et sur des hypothèses en matière de sécurité et ne réalisent pas que le monde est maintenant rempli d’individus qui vont abuser de leur naïveté.
Billet inspiré de Hackers target Telegram accounts through voicemail backdoor, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.