L’application Telegram est-elle vraiment aussi sécurisée qu’elle le prétend ? Le chercheur en cybersécurité Ahmed Hassan a récemment découvert que sous certaines conditions, la fonctionnalité « People Nearby » du service de messagerie rend votre géolocalisation vulnérable aux hackers, et tout particulièrement si vous utilisez un appareil Android. Retour sur cette découverte.

La fonctionnalité People Nearby mise en cause

« People Nearby » est une fonctionnalité Telegram qui permet, comme son nom l’indique, de trouver d’autres utilisateurs du service de messagerie proches de vous. Désactivée par défaut, elle ne pose pas réellement de problème en tant que telle puisque la position exacte des utilisateurs n’est pas communiquée, mais seulement la distance approximative à laquelle ils se trouvent.

Seulement voilà, le chercheur indépendant Ahmed Hassan a découvert que cette fonctionnalité pouvait être utilisée par des hackers, afin de géolocaliser avec précision la position des utilisateurs l’ayant activée. Pire encore, il existerait trois méthodes pour y parvenir. Si la première nécessite un matériel qu’il est difficile de se procurer, la seconde et la troisième sont à la portée de tous.

Pour apporter des preuves à sa découverte, Ahmed Hassan a utilisé la deuxième méthode. Grâce à une simple application disponible gratuitement sur le Play Store, le chercheur a pu identifier l’adresse exacte d’un autre utilisateur qu’il ne connaissait pas.

Telegram demeure silencieux

Pour Ahmed Hassan, il ne fait aucun doute : cette fonctionnalité pose problème, et notamment parce que « la plupart des utilisateurs ne comprennent pas qu’ils partagent leur emplacement, et peut-être même leur adresse personnelle », a-t-il indiqué dans un mail à Arstechnica.

Alors, pour que cette vulnérabilité soit rectifiée, le chercheur a directement contacté les équipes de Telegram en leur envoyant une vidéo démontrant comment il était parvenu à se procurer l’adresse exacte d’un utilisateur à travers « People Nearby ». Ce à quoi le service de messagerie aurait répondu que cela n’était pas réellement un problème, puisque la fonctionnalité est désactivée par défaut.

Pourtant, corriger cette vulnérabilité (ou du moins la rendre plus difficilement exploitable) est facile d’un point de vue technique. Il suffirait d’arrondir les distances, et d’ajouter un certain nombre de bits aléatoires. Nos confrères d’Arstechnica précisent d’ailleurs que « lorsque l’application Tinder présentait une vulnérabilité similaire, les développeurs ont utilisé une technique de ce type pour la corriger ».

En attendant que Telegram décide d’agir, nous vous conseillons simplement de vérifier que la fonctionnalité People Nearby est bien désactivée sur vos appareils. En l’état actuel, c’est encore le meilleur moyen de vous assurer que votre adresse précise ne puisse pas être trouvée par d’éventuelles personnes mal intentionnées.