Telegram : Des pirates exploitent une faille de sécurité pour miner des crypto-monnaies

Une vulnérabilité sur l’application « Desktop » de Telegram

Pour la socié­té de cyber­sé­cu­ri­té Kas­pers­ky Labs, cela ne fait aucun doute : des pirates ont uti­li­té une vul­né­ra­bi­li­té zero-day pour infec­ter l’or­di­na­teur de cer­tains uti­li­sa­teurs avec un mal­ware de minage de cryp­to-mon­naies.

Ils seraient ain­si par­ve­nus à miner des actifs numé­riques ano­nymes, comme le Mone­ro ou le Zcash – des mon­naies numé­riques qui leur per­mettent de mas­quer leur identité.

Kas­pers­ky Labs indique tou­te­fois que seule l’ap­pli­ca­tion « desk­top » de Tele­gram a été ciblée.

Cette attaque s’ins­crit dans une vague de « cryp­to­ja­cking », qui per­met aux pirates de détour­ner des péri­phé­riques à leur pro­fit. Il y a quelques jours, on appre­nait que des hackers étaient par­ve­nus à détour­ner des mil­lions de péri­phé­riques Android afin de miner du Monero.

Cette ten­dance semble avoir été impul­sée par le site de « tor­rents » The Pirate Bay. À la recherche de sources de reve­nus alter­na­tives, ses pro­prié­taires avaient déci­dé d’y mettre tem­po­rai­re­ment en place un script de minage – un script qui per­met­tait d’u­ti­li­ser la puis­sance de cal­cul des machines des visi­teurs pour miner du Monero.

D’a­près les résul­tats de l’é­tude menée par Kas­pers­ky Labs, les pirates ont com­men­cé en mars 2017 à exploi­ter la faille pré­sente sur l’ap­pli­ca­tion desk­top de Telegram.

Pour y par­ve­nir, ils se sont appuyés sur la fonc­tion­na­li­té qui per­met au logi­ciel de recon­naître les textes écrits en arabe et en hébreu – des langues s’é­cri­vant de droite à gauche – ce qui leur a offert la pos­si­bi­li­té de renom­mer cer­tains fichiers. C’est ain­si qu’ils ont pu uti­li­ser cer­tains ordi­na­teurs pour miner des cryp­to-mon­naies, et poten­tiel­le­ment accé­der aux machines infectées.

Les cher­cheurs ont notam­ment pu trou­ver, dans le cadre de l’une de ces attaques, des archives conte­nant un cache local Tele­gram qui avait été déro­bé à une victime.

Voi­ci ce que l’on peut lire dans l’ar­ticle de Kas­pers­ky Labs :

« Après l’ins­tal­la­tion, le logi­ciel a com­men­cé à opé­rer en “mode silen­cieux”, ce qui a per­mis à l’agent mal­veillant de ne pas être détec­té par le réseau. Il a ain­si pu effec­tuer dif­fé­rentes com­mandes, en ins­tal­lant notam­ment des spywares ».

En s’ap­puyant sur cer­tains indices conte­nus dans son code infor­ma­tique. Kas­pers­ky estime que ce logi­ciel mal­veillant aurait été déve­lop­pé en Rus­sie.

La socié­té ajoute que Tele­gram n’est pas la seule appli­ca­tion de mes­sa­ge­rie à être expo­sée à une faille : elle avait ain­si pu décou­vrir le mois der­nier sur What­sApp l’ex­ploi­ta­tion d’une faille de sécu­ri­té qui per­met­tait aux pirates d’a­voir accès à cer­tains messages.

Ajou­tons enfin que la socié­té russe avait aler­té Tele­gram en octobre der­nier. Celle-ci lui avait indi­qué un mois plus tard quelle était par­ve­nue à y appor­ter un correctif.

Pour le fondateur de Télégram, il ne s’agit pas d’une véritable vulnérabilité

Mais pour Tele­gram, il ne s’a­git pas, à pro­pre­ment par­ler, de l’ex­ploi­ta­tion d’une faille de sécu­ri­té, mais plu­tôt d’une forme d’ingénierie sociale.

Pavel Durov, le fon­da­teur de Tele­gram, a ain­si indi­qué qu’il ne s’a­gis­sait pas « d’une vul­né­ra­bi­li­té réelle de Tele­gram Desk­top », dans la mesure où il est impos­sible d’ac­cé­der à dis­tance à  l’ordinateur d’un uti­li­sa­teur ou à son compte Tele­gram si celui-ci n’a ouvert aucun fichier malveillant.

Il indique d’ailleurs que les décla­ra­tions de Kas­pers­ky Labs seraient « exagérées » :

« Comme tou­jours, les rap­ports des socié­tés qui conçoivent des anti­vi­rus doivent être appré­hen­dés avec un cer­tain recul, dans la mesure où elles peuvent avoir ten­dance à exa­gé­rer la gra­vi­té des failles qu’elles ont pu trou­ver afin d’ob­te­nir de la publi­ci­té dans des médias généralistes ».

Tele­gram tra­vaille actuel­le­ment sur une ICO des­ti­née à finan­cer un nou­veau pro­jet blo­ck­chain extrê­me­ment ambi­tieux.

Celui-ci ambi­tionne de lever, dans un pre­mier temps, au moins 500 mil­lions de dol­lars. Il vise à mettre en place le « Gram », un actif numé­rique qui consti­tue­ra la mon­naie native de l’é­co­sys­tème Tele­gram Open Net­work (TON). Celui-ci sera inté­gré direc­te­ment à la pla­te­forme Tele­gram – une pla­te­forme qui devrait bien­tôt atteindre le seuil des 200 mil­lions d’utilisateurs.

Réfé­rences : CCN, Kas­pers­ky Labs