Sécurité de Telegram : point sur la situation actuelle

L’arrestation de Pavel Durov vous laisse perplexe quant à votre accès à Telegram et à la protection de votre vie privée ? Voici ce que vous devez faire (et ne devez pas faire !) maintenant.

Au moment de la publication, Pavel Durov, qui a été arrêté en France, a été remis en liberté contre une caution de 5 millions d’euros et a reçu une interdiction de quitter le territoire français. On ne sait pas encore comment les choses se dérouleront devant les tribunaux, mais en attendant, les escrocs exploitent déjà l’attention massive et la panique qui entourent Telegram, tandis que de nombreux conseils douteux circulent sur les réseaux sociaux à propos des mesures à prendre désormais avec l’application. Notre avis en bref : les utilisateurs de Telegram doivent garder leur calme et agir en fonction des faits dans l’état actuel des choses. Passons maintenant à ce que nous pouvons recommander aujourd’hui plus en détail…

La confidentialité des discussions et les « clés de Telegram »

En bref, la plupart des discussions sur Telegram ne peuvent pas être considérées comme confidentielles – et cela a toujours été le cas. Si vous avez échangé des informations sensibles sur Telegram sans utiliser de discussions secrètes, considérez-les comme compromises. Transférez vos communications privées vers une autre messagerie en suivant ces recommandations.

De nombreux organes de presse suggèrent que la principale plainte contre Durov et Telegram est le refus de coopérer avec les autorités françaises et de fournir les « clés de Telegram ». M. Durov posséderait des clés cryptographiques qui lui permettraient de lire les messages des utilisateurs. En réalité, peu de gens connaissent vraiment la structure du serveur Telegram, mais d’après les informations disponibles, on sait que la majeure partie de la correspondance est stockée sur les serveurs sous une forme peu chiffrée – c’est-à-dire que les clés de déchiffrement sont stockées au sein de ladite infrastructure Telegram. Les créateurs affirment que les conversations sont stockées dans un pays et les clés dans un autre, mais étant donné que tous les serveurs communiquent entre eux, il n’est pas certain que cette mesure de sécurité soit efficace dans la pratique. Cette mesure pourrait être utile si les serveurs étaient saisis dans un des pays, mais c’est à peu près tout. Le chiffrement de bout en bout, qui est la norme dans les autres messageries (WhatsApp, Signal et même Viber), est appelé « échange secret » dans Telegram. Cette fonction est en quelque sorte cachée dans les recoins de l’interface et doit être activée manuellement. Toutes les discussions de groupe, les canaux et la correspondance personnelle standard ne sont pas chiffrés de bout en bout et peuvent être lus au moins sur les serveurs de Telegram. En outre, pour les échanges secrets comme pour tout le reste, Telegram utilise son propre protocole non standard – MTProto – qui s’est avéré contenir de sérieuses vulnérabilités cryptographiques. Par conséquent, les messages échangés via Telegram peuvent théoriquement être lus par :

  • Les administrateurs des serveurs de Telegram
  • Les pirates informatiques qui ont réussi à s’introduire dans les serveurs de Telegram et à y installer des logiciels espions
  • Des tiers disposant d’un accès particulier accordé par les administrateurs de Telegram
  • Une tierce partie qui a découvert des vulnérabilités cryptographiques dans les protocoles de Telegram et qui peut lire (sélectivement ou intégralement) au moins les discussions non secrètes en interceptant le trafic de certains utilisateurs

Suppression de la correspondance

Certains utilisateurs ont été invités à supprimer d’anciennes discussions sur Telegram, notamment celles liées au travail. Ce conseil semble discutable, car dans les bases de données (où la correspondance est stockée sur le serveur), les entrées sont rarement supprimées ; elles sont simplement marquées comme telles. En outre, comme toute infrastructure informatique de premier plan, Telegram met probablement en œuvre un système de sauvegarde des données robuste, ce qui signifie que les messages « supprimés » seront au moins conservés dans les sauvegardes de la base de données. Il peut être plus efficace pour les deux participants à la discussion (ou les administrateurs du groupe) de supprimer complètement la discussion. Cependant, la question des sauvegardes demeurerait.

Sauvegarde des discussions

Certains commentateurs se sont inquiétés du fait que Telegram pourrait être retiré des boutiques d’applications, bloqué ou perturbé de quelque manière que ce soit. Même si cela semble peu probable, il est toujours judicieux de sauvegarder les correspondances, les photos et les documents importants dans le cadre d’une bonne hygiène numérique.

Pour enregistrer une copie de sauvegarde de vos correspondances personnelles importantes, vous devez installer Telegram sur votre ordinateur (client officiel ici), vous connecter à votre compte, puis accéder à Paramètres → Avancé → Exporter les données de Telegram.

Comment exporter toutes les données de Telegram

Comment exporter toutes les données de Telegram

Dans la fenêtre contextuelle, vous pouvez sélectionner les données que vous souhaitez exporter (échanges personnels, échanges de groupe – avec ou sans photos et vidéos), définir des limites de taille de téléchargement et choisir le format des données – HTML, qui peut être consulté dans n’importe quel navigateur, ou JSON pour un traitement automatisé par des applications tierces.

Paramètres de sauvegarde des données Telegram

Paramètres de sauvegarde des données Telegram

Le téléchargement des données sur votre ordinateur peut prendre plusieurs heures et exiger des dizaines, voire des centaines de gigaoctets d’espace libre, en fonction de la fréquence d’utilisation de Telegram et des paramètres d’exportation. Vous pouvez fermer la fenêtre d’exportation, mais assurez-vous de ne pas quitter l’application elle-même ni de déconnecter votre ordinateur d’Internet ou du secteur. Nous vous recommandons d’utiliser uniquement la fonctionnalité de sauvegarde du client officiel.

« Empêcher la suppression de Telegram » sur les smartphones

Tout d’abord, penchons-nous sur iOS. La société Cupertino ne supprime pas les applications des smartphones des utilisateurs, même si les applications sont supprimées de l’App Store, si bien que tout conseil permettant d’empêcher Telegram d’être supprimé des iPhone est erroné. En outre, une méthode populaire de « prévention de la suppression de Telegram » qui circule en ligne, soit l’utilisation du menu « Temps d’écran », n’empêche pas Apple de supprimer des applications ; elle empêche seulement certains utilisateurs (par exemple, les enfants) de supprimer eux-mêmes des applications. Il s’agit donc d’une fonction de contrôle parental. Et ce n’est pas tout : l’arrestation de M. Durov a ravivé la vieille allégation erronée selon laquelle Telegram aurait été supprimé à distance des iPhone, ce qu’Apple et Telegram ont officiellement démenti en 2021.

En ce qui concerne Android, Google ne supprime généralement pas non plus les applications, sauf s’il s’agit véritablement d’un programme malveillant. Il est vrai que ces garanties ne s’appliquent pas à tous les détenteurs d’autres écosystèmes (Samsung, Xiaomi, etc.), mais sur Android, il est facile d’installer Telegram directement à partir du site de Telegram.

Clients alternatifs

Il existe des clients non officiels mais toujours fonctionnels et légaux pour Telegram, et même un « client alternatif officiel » – Telegram X. Ces clients utilisent tous l’API de Telegram, mais il n’est pas certain qu’ils offrent des avantages supplémentaires ou une sécurité plus élevée. Les cinq clients alternatifs les plus populaires sur Google Play évoquent tous une  » sécurité améliorée « , mais ne font référence qu’à des fonctionnalités telles que le masquage des conversations sur un appareil.

Bien sûr, vous pouvez vous retrouver à télécharger un programme malveillant camouflé en client alternatif de Telegram. Les escrocs ne manquent pas une occasion d’exploiter la popularité de l’application. Si vous envisagez d’autres clients, suivez les consignes de sécurité suivantes :

  • Téléchargez-les uniquement depuis les boutiques d’applications officielles.
  • Assurez-vous que l’application existe depuis un certain temps, qu’elle est bien notée et qu’elle a été téléchargée un grand nombre de fois.
  • Utilisez une protection antivirus fiable sur toutes les plateformes, comme Kaspersky Premium.

Collecte de fonds pour Durov et défense de la liberté d’expression

Même si ce point n’est pas directement lié aux discussions sur Telegram, il est important de se méfier également des escrocs qui se font passer pour des collecteurs de fonds pour la défense juridique de Pavel Durov (comme s’il avait vraiment besoin d’argent), alors qu’ils visent en réalité à voler des informations de paiement ou à s’approprier des dons cryptomonnaies. Traitez ces demandes avec la plus grande méfiance et vérifiez si l’organisation présumée existe vraiment et mène réellement une telle campagne. Pour en savoir plus sur les escroqueries aux œuvres de bienfaisance, consultez notre article à ce sujet.

Conseils