Des pirates iraniens ont compromis plus d’une douzaine de comptes sur le service de messagerie instantanée Telegram et identifié les numéros de téléphone de 15 millions d’utilisateurs iraniens.
Telegram est l’un des services de messagerie instantanée les plus populaires en Iran, qui compte des dizaines de millions de comptes. Cette popularité a attiré l’œil de hackers qui, selon les chercheurs Collin Anderson et Claudio Guarnieri, ont compromis plus d’une douzaine de comptes utilisateurs via un hack utilisant la redirection de SMS. Une fois réalisée, la redirection offre aux pirates un accès complet à un compte Telegram donné, ce qui leur permet de lire les messages archivés ainsi que la liste de contacts. Au total, les numéros de téléphone de 15 millions d’utilisateurs iraniens ont été récupérés.
L’attaque fonctionne en ciblant la sécurité des comptes Telegram, plutôt que le cryptage qui protège les messages échangés. Lorsqu’un utilisateur ajoute un nouveau périphérique à son compte Telegram, le nouveau dispositif est confirmé par un message SMS unique – mais si ce SMS est intercepté par un attaquant, le compte peut être cloné sur un dispositif hostile, même si les échangés chiffrés de bout en bout ne seront pas accessibles sur le nouvel appareil. Les utilisateurs de Telegram ont la possibilité d’ajouter un mot de passe supplémentaire au processus, mais cela est rarement fait. En conséquence, toute personne ayant accès aux réseaux d’opérateurs téléphoniques peut efficacement cloner la plupart des comptes Telegram.
En Iran, cet avantage a apparemment été utilisé pour un effet dévastateur. D’après Collin Anderson et Claudio Guarnieri, des militants, des journalistes et des groupes consultatifs de la société civile ont tous été ciblés, avec la coopération apparente des entreprises de télécommunications contrôlées par l’État.
De son côté, Telegram reconnaît que des pirates sont parvenus à établir une liste de 15 millions de numéros de téléphone d’utilisateurs mais que ces données étaient plus ou moins « publiques » et que cela n’avait pas été causé par un problème lié à son service.
