Pendant le week-end, un extrait d'une récente interview avec le fondateur de Telegram, Pavel Durov, est devenu semi-viral sur X (anciennement Twitter). Dans la vidéo, Durov déclare à la personnalité de droite Tucker Carlson qu'il est le seul chef de produit de l'entreprise, et qu'il ne compte que 'environ 30 ingénieurs'.
Les experts en sécurité affirment que bien que Durov se vantait de l'efficacité de son entreprise basée à Dubaï, ce qu'il a dit était en fait un signal d'alarme pour les utilisateurs.
'Sans chiffrement de bout en bout, un grand nombre de cibles vulnérables et des serveurs situés aux Émirats arabes unis ? Il semble que ce serait un cauchemar en termes de sécurité,' a déclaré Matthew Green, expert en cryptographie à l'Université Johns Hopkins, à TechCrunch. (Un porte-parole de Telegram, Remi Vaughn, a contesté cela, affirmant qu'elle n'a pas de centres de données aux Émirats arabes unis.)
Green faisait référence au fait que - par défaut - les discussions sur Telegram ne sont pas chiffrées de bout en bout comme sur Signal ou WhatsApp. Un utilisateur de Telegram doit démarrer une 'Discussion secrète' pour activer le chiffrement de bout en bout, rendant les messages illisibles pour Telegram ou toute autre personne que le destinataire prévu. De plus, au fil des ans, de nombreuses personnes ont douté de la qualité du chiffrement de Telegram, étant donné que l'entreprise utilise son propre algorithme de chiffrement propriétaire, créé par le frère de Durov, comme il l'a dit dans une version étendue de l'interview avec Carlson.
Eva Galperin, directrice de la cybersécurité à l'Electronic Frontier Foundation et experte de longue date de la sécurité des utilisateurs à risque, a déclaré qu'il est important de se rappeler que Telegram, contrairement à Signal, est beaucoup plus qu'une simple application de messagerie.
'Ce qui différencie Telegram (et le rend bien pire !) c'est que Telegram n'est pas simplement une application de messagerie, c'est aussi une plateforme de médias sociaux. En tant que plateforme de médias sociaux, il détient une énorme quantité de données utilisateur. En effet, il détient le contenu de toutes les communications qui ne sont pas des messages en tête-à-tête qui ont été spécifiquement chiffrés de bout en bout,' a déclaré Galperin à TechCrunch. ''Trente ingénieurs' signifie qu'il n'y a personne pour lutter contre les demandes légales, il n'y a pas d'infrastructure pour traiter les problèmes de abus et de modération de contenu.'
'Et je dirais même que la qualité de ces 30 ingénieurs n'est pas si bonne,' a ajouté Galperin. 'De plus, si j'étais un acteur menaçant, je considérerais certainement cela comme une nouvelle encourageante. Chaque attaquant aime un adversaire profondément sous-effectif et surchargé.'
Je devine, aucun de ces 30 membres du personnel n'incluent des personnes en charge de la confidentialité ou de la conformité, et aucune vérification tierce n'est jamais effectuée pour examiner les contrôles de sécurité potentiels restreignant l'accès aux données des utilisateurs. 'Veuillez nous faire confiance' n'est pas la façon dont fonctionne la sécurité. https://t.co/w7PBkU0TJR - JP Aumasson (@veorq) 22 juin 2024.
Un porte-parole de Telegram a confirmé que l'entreprise compte 30 développeurs travaillant sur les applications et l'infrastructure, mais affirme avoir 30 personnes supplémentaires dans son 'équipe principale'. Le porte-parole n'a pas répondu à nos questions spécifiques, y compris si l'entreprise a un responsable de la sécurité en chef, et combien de ses ingénieurs travaillent à plein temps sur la sécurisation de la plateforme.
La semaine dernière, l'expert bien connu en cybersécurité SwiftOnSecurity a écrit sur X que 'Le coût de faire fonctionner une entreprise qui dispose de tous les bons outils de cybersécurité et du personnel approprié est absolument obscène.'
'Il est difficile de décrire les chiffres que j'ai vus. Même dire cela est une zone grise. Mais c'est un effectif et une dépense incroyables,' a écrit SwiftOnSecurity. 'Pour dire, même les plus grandes entreprises de la planète ne dépensent probablement pas assez d'argent, de temps et d'énergie pour se sécuriser. Telegram compte près d'un milliard d'utilisateurs, selon Durov. C'est l'une des plateformes les plus populaires pour les personnes travaillant dans le crypto (qui déplacent des millions de dollars), les extrémistes, les hackers et les adeptes de la désinformation.'
Cela en fait une cible incroyablement intéressante pour les hackers criminels et gouvernementaux. Et elle compte - au maximum - juste une poignée de personnes dédiées à la cybersécurité.
Pendant des années, les experts en sécurité ont averti que les gens ne devraient pas considérer Telegram comme une application de messagerie vraiment sécurisée. Compte tenu de ce que Durov a récemment dit, cela pourrait être encore pire que ce que les experts pensaient.
MISE À JOUR : 25 juin, 10h31, heure de l'Est : Cet article a été mis à jour pour inclure les commentaires du porte-parole de Telegram, qui ont été fournis après la publication.
Signal détaille les coûts pour maintenir son service de messagerie privée en vie
