Le patron de Telegram, Pavel Durov, est sorti de garde à vue mais a été mis en examen mercredi soir. La justice française lui reproche de ne pas agir contre la diffusion de contenus criminels.
Telegram dans le viseur de la justice française. Ou plus exactement son patron franco-russe, Pavel Durov. Ce dernier a été mis en examen mercredi soir. La justice lui reproche de ne pas agir contre la diffusion de contenus criminels sur la messagerie, qui vante son chiffrement auprès des utilisateurs.
Toutefois, plusieurs observateurs et spécialistes de la cybersécurité soulignent que la messagerie ne protège peut-être pas aussi bien ses usagers qu’elle ne le prétend. Du moins, pas autant que certaines concurrentes.
Un chiffrement à active
En effet, comme le pointe Gérôme Billois, expert en cybersécurité au cabinet Wavestone et auteur de Cyberattaques : les dessous d’une menace mondiale (Hachette), pour qu’une conversation entre deux personnes qui communiquent sur Telegram soit chiffrée de bout en bout, il faut cocher une fonctionnalité. « Quand le chiffrement de bout en bout n’est pas activé, les salariés de Telegram peuvent voir ces messages », résume-t-il.
Ce n’est pas une évidence pour tous, loin de là. Cette activation est, d’après Matthew Green, professeur agrégé d’informatique, expert en cryptographie et membre de l’Institut de sécurité de l’information de l’université Johns Hopkins, « étrangement difficile à réaliser pour les utilisateurs non experts », s’agace-t-il sur son blog. Il précise que le bouton qui permet d’activer le chiffrement n’est disponible qu’après quatre clics différents. Mais surtout, précise-t-il encore, « les conversations secrètes ne fonctionnent que si votre interlocuteur est en ligne au moment où vous faites cela ».
Par ailleurs, dès que la conversation s’élargit à plusieurs personnes ou s’entretient au sein d’une chaîne, ouverte ou non, le chiffrement ne s’applique plus. « S’il s’agit de messages dans la sphère familiale, sur des sujets aussi anodins qu’un retard au rendez-vous chez le médecin, le risque est relatif, concède Gérôme Billois. Mais on peut vouloir échanger des choses plus sensibles sur sa santé, ses finances ».
Des messages accessibles aux serveurs de Telegram
Sur Telegram, quand un message est chiffré de bout en bout, « il part vers les serveurs ; l’application identifie l’expéditeur et le destinataire et renvoie vers le téléphone du destinataire », et ce sans voir le contenu, développe Gérôme Billois.
Pour son chiffrement, Telegram a choisi « une solution qu’ils ont créée eux-mêmes et sur laquelle on n’a pas eu toutes les garanties de transparence et de tests indépendants sur la qualité du chiffrement », nuance le spécialiste en cybersécurité. « On est obligés de leur faire confiance alors qu’on ne sait pas exactement ce qu’ils stockent ou pas, ce qu’ils analysent ou pas, ajoute-t-il. Il y a une espèce de flou et de manque de transparence du côté de Telegram ».
Ce n’est pas le cas d’autres applications de messagerie instantanée comme WhatsApp, Signal ou la création française Olvid. Ces dernières sont chiffrées de bout en bout sans que l’utilisateur n’ait besoin d’activer une fonctionnalité particulière. Et si elles peuvent aussi stocker les messages, elles ne voient en revanche jamais leur contenu. « Ils n’ont pas la clef pour déchiffrer, elle est sur les téléphones des usagers », explique encore Gérôme Billois.
Des informations cryptées mais précieuses
Même cryptés, les messages offrent aux applications des informations potentiellement précieuses sur leurs utilisateurs. WhatsApp, Signal ou Telegram ont accès à votre répertoire. Ainsi, ces applications « se basent sur les numéros de portables de personnes que vous connaissez et en ayant ces numéros, ils sont en capacité de savoir avec quel numéro, à quelle heure et combien de messages vous échangez », note Gérôme Billois. Des métadonnées qui sont une source d’information « précieuse, en témoignent les sommes énormes que les diffuseurs traditionnels dépensent pour les collecter », remarque également Matthew Green.
La seule messagerie qui ne collecte pas ces informations est Olvid, qui se présente comme la messagerie la plus sûre du monde. Les ministres du gouvernement d’Elisabeth Borne ont dû s’y inscrire, plutôt que sur WhatsApp, Signal, Telegram ou Messenger. Son défaut est aussi sa force : il faut entrer ses contacts un par un. En fonction de l’épaisseur de votre répertoire, la démarche peut être fastidieuse, mais elle garantit son côté confidentiel.
Source: 20 minutes