Comment fonctionne le cryptage de bout en bout de Telegram et dans quelle mesure est-il impénétrable et sécurisé ?

Alexis Tremblay
Alexis Tremblay

L’arrestation de Pavel Durovfondateur de Télégrammesurvenu le 24 août 2024 à l’aéroport de Paris-Le Bourget, a remis sous le feu des projecteurs l’application de messagerie, accusée par différents gouvernements d’être un « lieu de rendez-vous » important pour les personnalités les plus louches de la Toile, parmi lesquelles des escrocs, des terroristes. , producteurs et consommateurs de pédopornographie. Selon l’accusation, la raison pour laquelle ces criminels choisissent Telegram comme outil de communication réside dans le fait que le chiffrement de bout en bout (E2E) de l’application est généralement considérée comme très sûre. Le chiffrement E2E est une méthode de chiffrement des discussions utilisant les deux points de terminaison (c’est-à-dire les fins de la conversation) deux clésun public et un privé, ce dernier disponible uniquement pour l’expéditeur et le destinataire. Cette méthode est considérée comme particulièrement impénétrable, à tel point que Telegram se définit comme «plus sûr que les applications de messagerie de masse comme WhatsApp et Line».
L’application de Durov, qui compte plus de 900 millions d’utilisateurs actifs dans le monde, offre en réalité un niveau de sécurité comparable à celui de WhatsApp et similaire et n’applique pas de chiffrement de bout en bout à tous les discussionsmais uniquement à ceux définis comme « secrète »qui peut être configuré pour s’autodétruire les messages après un total de temps et empêcher les messages envoyés à la conversation secrète d’être transférés vers d’autres discussions. Le protocole propriétaire utilisé par Telegram pour appliquer un cryptage de bout en bout aux discussions secrètes MTProto et a été développé par Nikolai Durov, le frère de Pavel. En fait, ce protocole est considéré par les experts en cybersécurité moins sûr par rapport aux protocoles connus.

Lorsque le chiffrement de bout en bout est utilisé sur Telegram

Le cryptage de bout en bout sur Telegram n’est pas automatiquement activé pour tous les chats et il en va de même pour les groupes et les chaînes. Pour ces chats « classiques », les messages sont enregistrés sur les serveurs Telegram et sont donc techniquement accessibles, car ils laissent une trace qui peut (au moins potentiellement) être interceptée. Cela représente une différence substantielle par rapport aux autres messageries concurrentes, avant tout WhatsApp Et Signal (une autre application de messagerie considérée comme extrêmement sécurisée pour les communications privées), qui ils maintiennent le chiffrement de bout en bout actif par défaut.

Malgré cela, Telegram prétend protéger même les discussions qui ne sont pas couvertes par un cryptage de bout en bout, en utilisant uninfrastructure distribuée en utilisant ce qu’on appelle chiffrement serveur-client. Pour faire simple, les données de chat sont distribuées dans plusieurs centres de données situés dans diverses zones géographiques, qui sont contrôlés par diverses entités juridiques qui, à leur tour, sont réparties sous diverses juridictions. Les clés de décryptage sont également divisées en plusieurs parties et ils ne sont jamais conservés avec les données qu’ils protègentafin de rendre plus difficile la recherche des données associées aux conversations stockées sur les serveurs Telegram. La plateforme elle-même, en commentant le degré de sécurité de ce système de stockage de données sur ses serveurs, déclare :

Par conséquent, pour nous obliger à transmettre des données, il faut plusieurs ordonnances de tribunaux de différentes juridictions. Grâce à cette structure, nous pouvons garantir qu’aucun gouvernement ou groupe de gouvernements partageant les mêmes idées ne puisse entraver la vie privée et la liberté d’expression des citoyens. Telegram ne peut être contraint de divulguer des données que si un problème est suffisamment grave et universel pour passer l’examen minutieux de plusieurs systèmes juridiques à travers le monde. À ce jour, nous n’avons divulgué 0 octet de données à des tiers, y compris des gouvernements.

Bien que le chiffrement serveur-client puisse être considéré comme raisonnablement sécurisé, il faut le dire ce niveau de sécurité « de base » s’applique uniquement entre les utilisateurs et le serveur. Cela signifie donc que Telegram peut potentiellement accéder à ses serveurs et intercepter les communications des utilisateurs, y compris les appels et les appels vidéo, et les cybercriminels peuvent également faire la même chose s’ils parviennent à « casser » les systèmes de sécurité de la plateforme.

Dans quelle mesure le cryptage de bout en bout de Telegram est-il impénétrable ?

Que dire cependant du deuxième niveau de sécurité de Telegram, à savoir chiffrement de bout en bout? Certes, cela représente le niveau maximum de sécurité mis à disposition de la plateforme et est appliqué dans le discussions secrètes (peut être activé dans les paramètres des chats individuels, mais pas de manière super intuitive). Pour activer les chats secrets sur Telegram, vous devez accéder aux paramètres des chats individuels, appuyer sur le profil utilisateur, appuyer sur les trois points en haut à droite qui indiquent les options et appuyer sur l’icône avec un cadenas qui lancera le chat secret. . Ce n’est qu’à ce stade qu’il est possible de profiter de Protocole propriétaire MTProto appliqué aux serveurs Telegram, qui parvient à protéger les communications des utilisateurs via un niveau de chiffrement client-client.

Pour aller plus en détail, le protocole MTProto utilise une combinaison d’algorithmes cryptographiques, dont le Cryptage AES-256 pour les messages, le Cryptage RSA 2048 bits pour les échanges de clés cryptographiques et l’échange de Clés Diffie-Hellman pour établir des discussions secrètes sur des canaux de communication non protégés. Puisqu’il s’agit d’un protocole non open source, les experts en sécurité indépendants n’ont pas la possibilité de tester son niveau de sécurité et ses éventuelles vulnérabilités, ce qui n’est pas en faveur de Telegram. En fait, les experts en sécurité préfèrent généralement les bibliothèques de chiffrement standardisées où les vulnérabilités potentielles sont connues et peuvent être mieux traitées et résolues. Pour cette raison On ne sait pas à quel point le cryptage de bout en bout de Telegram est impénétrable.

Bien qu’ils aient fourni une documentation illustrative très détaillée concernant MTProto, de nombreux experts en cryptographie considèrent MTProto 2.0 (la version la plus récente du protocole) moins sécurisé que le Protocole de cryptage du signalcréé par Signal (qui, pour mémoire, est le même protocole utilisé par les applications populaires telles que WhatsApp Et Skype). Par exemple, Matthieu Vertprofesseur de cryptographie à Université Johns Hopkinsa déclaré :

En gros, ils ont inventé un protocole. Selon leur article de blog, ils ont quelques mathématiciens très brillants qui ne sont pas de vrais cryptographes, mais ils étaient intelligents et ont inventé leur protocole. C’est assez fou. Ce n’est pas quelque chose qu’un cryptographe utiliserait. Cela dit, je ne sais pas si c’est cassé. Mais c’est juste bizarre.