La récente arrestation de Pavel Durov, fondateur de Telegram, le 24 août 2024 à l’aéroport de Paris-Le Bourget a une nouvelle fois mis en lumière l’application de messagerie. Divers gouvernements ont accusé l’application d’être un « lieu de rencontre » majeur pour les personnages peu recommandables, y compris les fraudeurs, les terroristes et les producteurs et consommateurs de pornographie juvénile. Selon le ministère public, ces criminels choisissent Telegram comme outil de communication car le chiffrement de bout en bout (E2E) de l’application est généralement considéré comme très sécurisé.
Qu’est-ce que le chiffrement de bout en bout?
Le chiffrement E2E consiste à utiliser deux clés, une clé publique et une clé privée, pour chiffrer les conversations des deux points de terminaison (c.-à-d. les extrémités de la conversation). La clé privée est uniquement disponible pour l’expéditeur et le destinataire. Cette méthode est largement considérée comme très impénétrable, dans la mesure où Telegram s’est décrit comme « plus sûr que les applications de messagerie de masse telles que WhatsApp et Line. »
Les fonctionnalités de sécurité de Telegram
L’application de Durov, qui compte plus de 900 millions d’utilisateurs actifs dans le monde entier, offre un niveau de sécurité comparable à celui de WhatsApp et d’applications similaires. Toutefois, il convient de noter que l’application de Durov n’applique pas le chiffrement de bout en bout à tous les chats; Il est utilisé exclusivement pour ceux qui sont définis comme « secret ». Ces chats peuvent être configurés pour s’autodétruire après un certain temps et empêcher que les messages envoyés à la conversation secrète soient transférés vers d’autres chats. Telegram utilise un protocole de cryptage propriétaire, qui garantit une confidentialité supplémentaire mais a fait l’objet de critiques pour son manque de transparence.
Les limites des chats classiques
Le cryptage sur Telegram n’est pas automatiquement activé pour tous les chats, groupes et canaux. Pour ces chats « classiques », les messages sont stockés sur les serveurs de Telegram et sont donc techniquement accessibles, car ils laissent une trace qui peut (au moins potentiellement) être interceptée. Cela représente une différence importante par rapport aux autres services de messagerie concurrents, principalement WhatsApp et Signal (autre application de messagerie considérée comme très sécurisée pour les communications privées), qui maintiennent un chiffrement de bout en bout par défaut.
Chiffrement serveur-client et distribution géographique
Néanmoins, Telegram prétend protéger également les chats qui ne sont pas couverts par le chiffrement de bout en bout, en utilisant une infrastructure distribuée employant un cryptage soi-disant serveur-client. En substance, les données de chat sont réparties dans plusieurs centres de données situés dans différentes zones géographiques, chacun étant contrôlé par une entité juridique distincte relevant de juridictions différentes. Les clés de décryptage sont également divisées en plusieurs parties et ne sont jamais conservées avec les données qu’elles protègent, ce qui rend plus difficile la recherche des données associées aux conversations stockées sur les serveurs de Telegram.
Le rôle des VPN dans l’amélioration de la confidentialité
Dans ce contexte, l’utilisation de réseaux privés virtuels (VPN) est devenue de plus en plus populaire auprès des utilisateurs qui recherchent une couche supplémentaire de confidentialité et de sécurité. Planet VPN peut masquer l’adresse IP d’un utilisateur et crypter son trafic Internet, ce qui rend beaucoup plus difficile pour les tiers de surveiller ou de suivre ses activités en ligne. Cet outil supplémentaire est souvent utilisé par les personnes qui veulent assurer l’anonymat lorsqu’elles accèdent à Telegram ou à d’autres plateformes similaires, en particulier dans les régions où les gouvernements ou d’autres entités tentent de surveiller ou de restreindre la communication.
Protection juridique et divulgation des données
Par conséquent, il faut plusieurs ordonnances de tribunaux de diverses juridictions pour obliger à divulguer des données. Cette structure garantit qu’aucun gouvernement ou coalition de gouvernements ne peut entraver la vie privée et la liberté d’expression des gens. Télégramme ne peut être contraint de divulguer des données d’utilisateur que dans les cas où il existe une préoccupation urgente et universelle qui a été minutieusement examinée et validée par plusieurs systèmes juridiques à l’échelle mondiale. À ce jour, aucune donnée n’a été communiquée à des tiers, y compris aux gouvernements.
Bien que le chiffrement serveur-client soit considéré comme raisonnablement sûr, il convient de noter que ce niveau de sécurité « de base » n’est appliqué qu’entre les utilisateurs et le serveur. Cela signifie que Telegram peut potentiellement accéder à ses serveurs et intercepter les communications, y compris les appels et les appels vidéo. Les cybercriminels pourraient faire de même s’ils parviennent à violer les systèmes de sécurité de la plateforme.
Activation du chiffrement de bout en bout de Telegram
Qu’en est-il du deuxième niveau de sécurité de Telegram, le chiffrement de bout en bout? Cela représente le plus haut niveau de sécurité disponible sur la plateforme et s’applique aux chats secrets (qui peuvent être activés dans les paramètres individuels du chat, mais pas particulièrement intuitivement). Pour activer les chats secrets sur Telegram, accédez aux paramètres de chat individuels, localisez le profil utilisateur et appuyez sur les trois points dans le coin supérieur droit. Sélectionnez l’icône avec le cadenas pour lancer la conversation secrète.
MTProto Protocol et ses fonctionnalités cryptographiques
Il est à noter que le protocole MTProto, appliqué aux serveurs de Telegram, n’est disponible qu’à ce stade. Ce protocole est capable de protéger les communications des utilisateurs par le biais du chiffrement client à client. Pour approfondir, le protocole MTProto utilise une combinaison d’algorithmes cryptographiques, y compris le cryptage AES-256 pour les messages, le cryptage RSA 2048 bits pour les échanges de clés cryptographiques, et Diffie-Hellman pour établir des conversations secrètes sur des canaux de communication non protégés.
En tant que protocole non open source, les experts en sécurité indépendants ne sont pas en mesure de tester son niveau de sécurité et ses vulnérabilités possibles, ce qui n’est pas un point en faveur de Telegram. En général, les experts de la sécurité préfèrent des bibliothèques de chiffrement standardisées où les vulnérabilités potentielles sont connues et peuvent être mieux traitées et résolues. Par conséquent, l’impenetrabilité du chiffrement de bout en bout de Telegram demeure incertaine.
