Un chercheur en sécurité a découvert que l’application de bureau de Telegram fuitait des adresses IP publiques et privées pendant les appels vocaux.
L’application de messagerie instantanée Telegram, connu pour ses fonctionnalités de chiffrement de bout en bout, contenait un bug susceptible de fuiter les adresses IP des utilisateurs. Un chercheur en sécurité a découvert que l’application de bureau Telegram contenait des adresses IP publiques et privées lors des appels vocaux. En outre, les utilisateurs n’avaient pas la possibilité de désactiver la fonctionnalité susceptible de les rendre vulnérables aux cyberattaques. Telegram aurait cependant corrigé la faille dans ses dernières mises à jour. De plus, l’équipe de sécurité de la société a attribué au chercheur 2 000 € pour avoir signalé le bug dans l’application.
Le chercheur en sécurité Dhiraj Mishra a signalé le bug qui, selon lui, causait des fuites d’adresses IP publiques et privées sur l’application desktop lors des appels vocaux sur une infrastructure P2P (peer-to-peer). Alors que les utilisateurs de smartphones ont la possibilité de désactiver les appels P2P en modifiant les paramètres pour accéder à d’autres options dans les paramètres de l’app, les utilisateurs de Telegram sur PC ne disposent pas de cette option.
La fonction d’appel vocal de Telegram fonctionne en établissant une connexion P2P directe entre les utilisateurs, échangeant ainsi directement des paquets de données entre les deux. On dit qu’une telle connexion expose directement les adresses IP des utilisateurs. Comme mentionné, les utilisateurs de l’application Telegram sur mobile peuvent choisir d’empêcher la révélation de leurs adresses IP en modifiant les paramètres. Selon Mishra, cette option était absente sur le client de bureau de Telegram. Cela pourrait entraîner la fuite de toutes les adresses IP des utilisateurs ayant passé un appel à partir de la version desktop.
La société a maintenant résolu le problème dans les versions 1.3.17 bêta et 1.4 de Telegram en ajoutant une option dans les paramètres de son client de bureau.
Si l’application ce serait bien passée de cette faille, celle-ci nous rappelle que vous ne pouvez pas supposer qu’une application est hermétique simplement à cause de sa réputation, même si la plupart de ses politiques sont saines.