En Russie, Telegram refuse de dévoiler son code source aux autorités

En Russie, Telegram refuse de dévoiler son code source aux autorités

Don't shoot the messenger

Avatar de l'auteur
Vincent Hermann

Publié dans

Internet

27/06/2017 7 minutes
26

En Russie, Telegram refuse de dévoiler son code source aux autorités

En Russie, les entreprises étrangères souhaitant commercialiser des logiciels et produits électroniques doivent montrer patte blanche et révéler leur code source, sous peine de blocage. Alors que certaines acceptent et d’autres pas, Telegram est particulièrement sur la sellette. Son fondateur, Pavel Durov, refuse en effet catégoriquement.

Depuis 2014, plusieurs lois et projets de loi donnent le ton en Russie. Le pays s’est clairement avancé sur le terrain du contrôle aigu des logiciels, services et produits électroniques divers qui souhaiteraient profiter de ce vaste marché.

Depuis le 1er janvier 2017, les éditeurs ont deux obligations. D’une part, stocker localement toutes les données des utilisateurs, donc sur des serveurs situés en Russie. D’autre part, révéler leur code source si le FSB (Federal Security Service, ex-KGB) le réclame. L’examen est censé prendre place dans des locaux d’entreprises indépendantes servant de relais. Beaucoup ont accepté.

Telegram, pratiquement accusé de faciliter le terrorisme, a jusqu’à présent refusé. Le service de messagerie est désormais menacé de blocage complet en Russie par le régulateur national des télécoms.

L’examen du code source pour des raisons de sécurité

Officiellement, le code source est inspecté pour des raisons de sécurité. Dans le contexte particulièrement tendu entre les États-Unis et la Russie suite à l’annexion de la Crimée par cette dernière, le FSB craint que les produits américains soient percés de petits trous laissés par les agences américaines.

Ces examens prennent place dans des locaux appartenant à des sociétés privées spécifiquement autorisées par le FSB à mener ces opérations. Reuters, qui s’est entretenu avec l’une d’entre elles, Echelon, indique que des salles spéciales sont mises à disposition des entreprises étrangères, qui en contrôlent l’équipement. Le code source n’est ainsi pas censé pouvoir être copié ou modifié.

Des sociétés telles que Cisco, IBM, SAP, HP ou encore McAfee ont autorisé cette inspection. D’autres, comme Symantec, ont refusé, toujours d’après nos confrères. Selon l’éditeur, l’indépendance des entreprises russes n’était tout simplement pas assez marquée. Conséquence, il n’a pratiquement plus aucune activité commerciale en Russie.

La Russie peut se débarrasser de Telegram

Depuis maintenant quelques années, Telegram fait figure d’épine dans le pied de la Russie. Fondateur et PDG de l’entreprise, Pavel Durov était considéré fut un temps comme le « Mark Zuckerberg russe », notamment parce qu’il était à l’origine de Vkontakte, l’équivalent russe de Facebook.

Il s’est cependant démarqué par des prises de position claires sur la sécurité et son intransigeance sur l’examen du code source. Il a ainsi refusé jusqu’à présent l’inspection du code par le réseau d’entreprises agréées par le FSB, tout comme le stockage local des données. Telegram peut donc désormais être entièrement bloqué d’un jour à l’autre.

La pression exercée est particulièrement lourde. Dans un communiqué paru lundi, le BSD a indiqué que les terroristes avaient pu planifier l’attaque du 3 avril grâce à Telegram. Cet attentat avait pour rappel été perpétré dans le métro de Saint Pétersbourg, faisant 15 morts et 45 blessés. Or, ce n’est pas la première fois que Telegram est ainsi visé. Pavel Durov a quant à lui répondu que depuis le début du mois de juin seul, plus de 5 000 groupes associés à l’extrémisme avaient été supprimés. Telegram dispose d’ailleurs d’un canal spécifique donnant au jour le jour les groupes liés à Daech fermés par la plateforme (255 hier par exemple).

La messagerie est également utilisée au Kremlin

Problème, Telegram n’est pas seulement utilisé par des terroristes, loin de là. Outre le grand public, le Washington Post rappelle que de nombreux membres du Kremlin s’en servent aussi, notamment Dmitry Peskov, porte-parole de Vladimir Poutine. Dans un entretien donné lundi à des journalistes, Perskov a cependant indiqué : « Si les services de cette messagerie deviennent inaccessibles, nous migrerons vers une autre. Nous verrons ce qui est le plus pratique. Dans le cas présent, il y a de la concurrence et de la diversité ».

Pour Durov, la Russie se sert toutefois de ce prétexte pour renforcer son contrôle sur les communications et la population. Il insiste également sur les dangers d’un affaiblissement général du chiffrement, qui mettrait en danger le pays lui-même. Le risque terroriste ne disparaîtrait pas, puisqu’il leur suffirait d’utiliser des téléphones à usage unique.

Le chiffrement reste au cœur des débats

Que la Russie veuille inspecter le code source pour y chercher des menaces peut paraître légitime. Mais il faut rappeler que cet examen donne une autre occasion : celle de détecter d’éventuelles failles de sécurité. Quand on connait l’importance de ces dernières dans la « cyberguerre » qui se joue entre gouvernements, entreprises et groupes de pirates et le double rôle d’attaque/défense du FSB, on imagine sans peine le potentiel.

Reste que la Russie est loin d’être le seul pays à avoir une dent contre les solutions de messagerie un peu trop bien protégées. Dans le plan de lutte contre le terrorisme, révélé par Emmanuel Macron et Therasa May, il est ainsi prévu de renforcer la coopération avec les entreprises, pour faciliter la récupération des données en cas de besoin.

Techniquement, tous ou presque se récrient devant l’usage de portes dérobées et, plus globalement, devant l’affaiblissement du chiffrement. Dans le plan Macron/May, il est ainsi bien mentionné un « accès au contenu chiffré » mais « sans portes dérobées ». En cas de chiffrement de bout en bout cependant, l’un ne peut pas aller sans l’autre, puisque l’éditeur, quel qu’il soit, ne devient qu’un relais pour des informations dont il ne possède pas la clé. Sans introduire spécifiquement de faiblesse dans ce type de solution, aucune chance donc de récupérer quoi que ce soit.

Il n’est donc pas étonnant dans un tel contexte que des entreprises comme Facebook, Microsoft, Twitter et YouTube se soient unies pour créer un forum, dans lequel elles regroupent depuis décembre dernier les informations et empreintes liées aux contenus considérés comme extrémistes. En plus de leur « responsabilité » et des bénéfices en termes d’images, elles espèrent peut-être également afficher assez de bonne volonté pour qu’aucun gouvernement ne vienne réclamer l’ajout de lucarnes dans leurs services.

Une pression qui ne va faire qu'augmenter

En attendant, la pression risque de continuer à s'accumuler. La Duma, équivalent russe de l'Assemblée nationale, a ainsi introduit le mois dernier un projet de loi visant à supprimer l'anonymat en ligne. Son effet rejaillirait sur de nombreux services, en interdisant par exemple toute solution de messagerie où les utilisateurs ne pourraient pas être clairement identifiés.

Dans un tweet du 11 juin, Pavel Durov indiquait également qu'au cours d'une semaine de visite aux États-Unis, les agences du pays auraient tenté par deux fois de soudoyer les développeurs de Telegram. Lui-même aurait subi des pressions du FBI pour implanter une ou plusieurs portes dérobées dans la messagerie. Celle-ci n'est d'ailleurs pas la seule concernée dans ce domaine. Pour rappel, WhatsApp, chiffré par défaut de bout en bout, avait été bloqué plusieurs fois au Brésil, la filiale de Facebook étant dans l'impossibilité de remettre des contenus de conversation.

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

L’examen du code source pour des raisons de sécurité

La Russie peut se débarrasser de Telegram

La messagerie est également utilisée au Kremlin

Le chiffrement reste au cœur des débats

Une pression qui ne va faire qu'augmenter

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (26)


https://github.com/Telegram-FOSS-Team/Telegram-FOSS



C’est étrange, car avant télégram ouvrait ses sources, maintenant ils se sont mis à ne plus rien publier et c’est un fork qui assure la gestion du bouzin. :/


Comment faire confiance à un logiciel de communications chiffrées non-libre ?



Aucune manière de vérifier que le chiffrement a bien lieu comme prétendu ou qu’il n’y a pas de backdoor.


On attend la secte open-source avec en tête de file Trépanécitose afin de nous expliquer que Telegram ferait mieux d’ouvrir son code dans ce cas. Vincent tes phrases sont pas assez claires, on pourrait croire que tu es pour la sécu par l’obfuscation  ! 




La pression exercée est particulièrement lourde. Dans un communiqué paru lundi,

le BSD a indiqué que les terroristes avaient pu planifier l’attaque du 3

avril grâce à Telegram. Cet attentat avait pour rappel était perpétré

dans le métro de Saint Pétersbourg, faisant 15 morts et 45 blessés.





On est à deux doigts d’inculper les auteurs des applications pour terrorisme… <img data-src=" />


ils l’ont fait pendant fort longtemps, ce n’est que récemment qu’ils ont cessé de publier leur code source, sans qu’on sache trop pourquoi.


Amusant, si on publiait ça au JT de TF1 les gens seraient indignés par la méchante russie qui s’assied une fois de plus sur les droits de l’Homme.



Par contre si on le présentait en disant que c’est la France qui demande les sources, tout le monde trouverai ça normal et on en remettrai une couche sur le chiffrement responsable de tous les maux du monde.


entre ça et une crypto totalement exotique, Telegram est vraiment un soft très bizarre.


Il faut bien sûr avoir la liberté d’utiliser un système propriétaire si on le souhaite, sans interférence du gouvernement. Le gouvernement russe va clairement a l’encontre de la liberté de communication de manière injustifiée (le FSB veut surtout trouver une faille pour surveiller les communications, ça ne justifie pas d’interdire les services qui refusent l’examen du code source).



Il n’empêche que du point de vue des utilisateurs, il est impossible d’avoir rationnellement confiance dans un logiciel de chiffrement qui cache volontairement son fonctionnement.


Un petit tour dans la maison de campagne de Poutine et le bonhomme sera certainement plus coopératif… <img data-src=" />


Les propositions anti-chiffrement suscitent l’indignation générale au Royaume-Uni, en France ou en Russie.



Mais c’est vrai que la population générale, moins informée, est plus malléable sur ce sujet.


Hum…




  1. C’est un truc sécurisé de bout en bout mais le code doit rester secret… why ?

  2. Les terroristes l’ont utilisé et les autorités n’ont rien détecté. Et maintenant les autorités se demandent si c’est suffisamment sécurisé… why ?



    Tout ca sent l’espionnage et contre-espionnage à plein nez…








tpeg5stan a écrit :



ils l’ont fait pendant fort longtemps, ce n’est que récemment qu’ils ont cessé de publier leur code source, sans qu’on sache trop pourquoi.







C’est bien pour ça qu’il ne faut pas l’utiliser. Un système “sur” repose sur un code & algo ouverts, et dont la robustesse ne tient qu’a la clé de chiffrement. Tous les systèmes dits “surs” reposent sur ce postulat de départ.



Je ne vois pas l’intérêt de ce genre de commentaire purement spéculatif, surtout qu’il me semble erroné.








tpeg5stan a écrit :



https://github.com/Telegram-FOSS-Team/Telegram-FOSS

C’est étrange, car avant télégram ouvrait ses sources, maintenant ils se sont mis à ne plus rien publier et c’est un fork qui assure la gestion du bouzin. :/









wagaf a écrit :



Comment faire confiance à un logiciel de communications chiffrées non-libre ?

Aucune manière de vérifier que le chiffrement a bien lieu comme prétendu ou qu’il n’y a pas de backdoor.









hellmut a écrit :



entre ça et une crypto totalement exotique, Telegram est vraiment un soft très bizarre.









wagaf a écrit :



Il n’empêche que du point de vue des utilisateurs, il est impossible d’avoir rationnellement confiance dans un logiciel de chiffrement qui cache volontairement son fonctionnement.









127.0.0.1 a écrit :



Hum…




  1. C’est un truc sécurisé de bout en bout mais le code doit rester secret… why ?





    Telegram se base sur Signal, ou bien ce n’est plus le cas ? Si c’est toujours le cas, le coeur du code est donc ouvert, non ?



    Hellmut, en quoi la crypto est exotique ?





Ces examens prennent place dans des locaux appartenant à des sociétés privées spécifiquement autorisées par le FSB à mener ces opérations. Reuters, qui s’est entretenu avec l’une d’entre elles, Echelon



L’ironie <img data-src=" />


La robustesse d’un algorithme de chiffrement symétrique à clé secrète doit venir de l’algo lui-même, pas de la clé utilisée.



 L'algo + n'importe quelle clé doit donner la même robustesse.     





En proposant par exemple des mécanismes de non-linéarité, en utilisant des clés dérivées, etc.








Jiraiya-08 a écrit :



La robustesse d’un algorithme de chiffrement symétrique à clé secrète doit venir de l’algo lui-même, pas de la clé utilisée.



 L'algo + n'importe quelle clé doit donner la même robustesse.     





En proposant par exemple des mécanismes de non-linéarité, en utilisant des clés dérivées, etc.





Je parlais de la robustesse du système, pas de l’algo, bien entendu. <img data-src=" />



Absolument pas. Ils ont leur propre tambouille.


puis-je avoir ton mot de passe ? c’est une simple vérification. Merci.








OlivierJ a écrit :



Telegram se base sur Signal, ou bien ce n’est plus le cas ? Si c’est toujours le cas, le coeur du code est donc ouvert, non ?

Hellmut, en quoi la crypto est exotique ?





heu Telegram ne s’est, à ma connaissance, jamais basé sur Signal.

ils ont pondu un protocole et un algo maison (d’où le terme “exotique”), à la différence de Signal par exemple, qui utilise du triple diffie-hellman pour le handshake, et qui a certes “inventé” le double ratchet pour ce qui est de l’algo de chiffrement. seulement cet algo a été publié, analysé, et adoubé par la totalité des cryptologues qui l’ont étudié (voir notamment ici, mais c’est la pointe de l’iceberg).

de toute manière faut pas être grand clerc pour comprendre que si des mecs comme Google ou Facebook utilisent Signal, c’est que c’est le must en matière d’échanges chiffrés.



tout le contraire de Telegram dont l’algo reste, il me semble, totalement inconnu: d’un côté on a Signal dont le protocole et l’algo sont validés scientifiquement, de l’autre on a Durov qui nous explique que puisque personne n’est venu réclamer les 500 000 dollars qu’ils offrent pour une faille majeure, c’est donc que son algo est solide.



N’empêche que si telegram était open-source on aurait une version en français, et je ne serais pas obligé de me taper du néerlandais à chaque fois que je vais dans les paramètres


J’adore le nom d’une société d’inspection “echelon” … <img data-src=" />








tpeg5stan a écrit :



N’empêche que si telegram était open-source on aurait une version en français, et je ne serais pas obligé de me taper du néerlandais à chaque fois que je vais dans les paramètres





c’est une si belle langue pourtant <img data-src=" />







Vilainkrauko a écrit :



J’adore le nom d’une société d’inspection “echelon” … <img data-src=" />





<img data-src=" />



Mais ces solutions (Whatsapp, Telegram) avec un code source fermé c’est vraiment gage de sécurité ?

&nbsp;








Wellit a écrit :



puis-je avoir ton mot de passe ? c’est une simple vérification. Merci.





Je n’ai pas compris le sens de ton commentaire.







hellmut a écrit :



heu Telegram ne s’est, à ma connaissance, jamais basé sur Signal.





Au temps pour moi, j’ai confondu avec WhatsApp sans doute.







hellmut a écrit :



de l’autre on a Durov qui nous explique que puisque personne n’est venu réclamer les 500 000 dollars qu’ils offrent pour une faille majeure, c’est donc que son algo est solide.





Pas tout à fait faux quand même :-) .









OlivierJ a écrit :



Au temps pour moi, j’ai confondu avec WhatsApp sans doute.





Whatsapp, Facebook Messenger, Google Allo/Duo et Viber (dans une moindre mesure, visiblement ils se sont inspirés du protocole Signal pour leur solution). Wire aussi utilise Signal il me semble, mais à leur sauce.





Pas tout à fait faux quand même :-) .



ouais enfin tu penses bien que le mec qui trouve une faille majeure il va sans doute pouvoir la vendre plus cher à certains acteurs, par exemple étatiques. ça peut aussi être une de ces acteur qui trouve la faille. dans ces deux cas, aucune publicité.