Comptes piratés en Iran : Telegram dément tout défaut de sécurisation

Le réseau de messagerie Telegram a-t-il été piraté ? C’est ce qu’affirment deux chercheurs. L’attaque serait venue d’Iran et aurait conduit à la prise de contrôle d’une douzaine de comptes, ainsi qu’à la récupération de 15 millions de numéros de téléphone. Telegram indique cependant que le problème ne vient pas de son côté.

Le chercheur indépendant Collin Anderson et l’expert Claudio Guarnieri d’Admnesty International ont contacté Reuters pour révéler que les utilisateurs iraniens de Telegram étaient probablement en danger. Sur les 20 millions de personnes qui se servent du service dans le pays, les trois quarts auraient ainsi vu leur numéro de téléphone récupéré par des pirates. Surtout, une dizaine de comptes seraient passés sous leur contrôle.

D’après les explications fournies à Reuters, le problème se situe dans la manière dont Telegram envoie le code confirmation pour créer la première connexion sur un nouveau téléphone. Si aucun compte n’existait auparavant, ce numéro devient l’identifiant et Telegram lui envoie un SMS contenant un code à six chiffres. Une fois cet appareil connecté, ceux qui seront ajoutés plus tard pourront se référer à ce numéro et récupérer les conversations en cours. Les codes ne sont alors plus envoyés par SMS, mais directement sur le smartphone dans Telegram.

Le SMS, maillon faible de la chaine de vérification

Or, c’est bien l’envoi du SMS qui pose problème. Intercepté, il peut permettre à des pirates de réorienter les conversations sur un autre appareil. D’après les chercheurs, ce sont les opérateurs téléphoniques eux-mêmes qui se chargeraient de cette opération, avant de les renvoyer vers des personnes peu recommandables. Ils précisent qu’un faisceau d’indices laisse à penser qu’il y a bien « coordination » de plusieurs acteurs.

La question de savoir si les pirates sont employés par le gouvernement iranien est une autre paire de manches. Anderson et Guarnieri n’ont pas souhaité épiloguer sur ce point. Ils affirment cependant que les pirates appartiennent à un groupe nommé « Rocket Kitten ». Dans le code de certains malwares qu’ils ont créé, on retrouverait des références en persan pointant vers des techniques de harponnage (hameçonnage mâtiné d’ingénierie sociale pour des cibles plus précises) semblables à ce que l’on trouve dans les forces de sécurité iranienne. Anderson note d’ailleurs que certaines personnes ont commencé à être la cible de ces attaques peu avant leur arrestation.

Telegram dément : le problème ne vient pas de son infrastructure

La question qui se pose évidemment est de savoir si la sécurité de Telegram en tant que telle a été percée. Pour l’éditeur, basé à Berlin, la réponse est claire : non.

Dans un billet publié hier soir, Telegram indique que l’interception des SMS n’est pas spécifique à sa solution. Il s’agit évidemment d’un maillon faible dès qu’un tel message peut être intercepté, que ce soit par l’opérateur téléphonique ou un autre acteur. Telegram insiste : la menace n’est pas nouvelle. En fait, elle est reproductible pour toute solution qui envoie un SMS de vérification, qu’il s’agisse de WhatsApp, de Viber, Line ou autre.

Telegram explique par ailleurs que si l’utilisateur a « des raisons de penser que son opérateur mobile intercepte ses SMS », il faut activer la vérification en deux étapes, qui rend impossible ce type d’exploitation.

Autre information importante, la récupération des numéros de téléphone peut se faire avec n’importe quel service les comparant à un répertoire. Là encore, toutes les applications de messagerie sont concernées, puisqu’elles vont toutes puiser – avec l’accord de l’utilisateur – dans ses contacts pour indiquer lesquels utilisent le même service.

Du côté de Telegram, la collecte massive est cependant plus spécifique. Dans son communiqué, l’éditeur précise qu’un changement important dans son API il y a quelques mois interdit une automatisation trop importante de ces comparaisons. La collecte a donc été faite avant cette modification. Il indique toutefois que n’importe qui peut, à travers les bonnes API, se renseigner auprès d’un service de messagerie pour savoir si le numéro de téléphone est utilisé.

Le cas particulier de l’Iran

Pourquoi récolter une telle masse de numéros de téléphone ? Les pirates pourraient bien entendu planifier une vaste campagne de spams en générant des SMS, des appels manqués renvoyant vers des numéros surtaxés et autres. Mais il faut compter également sur le contexte en Iran, où nombre de messageries et réseaux sociaux sont interdits.

Plusieurs sociétés ont déjà quitté le pays après avoir refusé de fournir des outils spécifiques pour faciliter la censure. En octobre dernier, c’était autour de Telegram de se voir remettre une telle demande, comme l’avait alors exposé Pavel Durov, fondateur de la messagerie. Dans les heures qui avaient suivi son refus, Telegram avait été bloqué pendant deux heures le 20 octobre, puis à hauteur de 30 à 50 % pendant la semaine suivante, avant d’être rétabli. Le mois précédent, le PDG avait également rejeté assez vertement les allégations selon lesquelles un tiers des données iraniennes étaient stockées dans des serveurs situés physiquement en Iran.

Un catalogue des utilisateurs ?

Telegram est en fait une solution très populaire au Moyen-Orient, et le nom même de la messagerie a été entaché par son utilisation au sein de groupes terroristes, dont Daech. Paradoxalement, l’utilisation par défaut de Telegram est devenue moins sécurisée que les solutions de WhatsApp et Viber, qui ont activé le chiffrement de bout-en-bout (les données sont chiffrées avant de quitter l’appareil, sans clé maître chez l’éditeur). Sur Telegram, les conversations ont un chiffrement classique, seuls les Secret Chats possédant un chiffrement de bout-en-bout.

La récupération des 15 millions de numéros de téléphone pourrait donc avoir été simplement un moyen pratique et facile d’identifier les utilisateurs d’une solution sur laquelle certains acteurs n’auraient pas de prise. C’est globalement l’avis de Collin Anderson et Claudio Guarnieri, qui présenteront leurs résultats complets de recherche à la conférence Black Hat dès jeudi. Le document sera plus tard publié par l’association Carnegie Endowment for International Peace.

Rappelons enfin que la situation devrait évoluer dans les prochains mois en Iran. Fin mai, le Conseil Suprême du Cyberespace a donné aux entreprises un an pour stocker les données des utilisateurs sur des serveurs locaux. Il y a donc de fortes chances que Telegram soit bloqué dans le pays au terme de ce délai.