Après avoir levé 1,7 milliard de dollars à travers son ICO privée, Telegram a présenté sa première crypto-fonctionnalité – mais les chercheurs en sécurité restent sceptiques.
Dans un article publié ce mercredi, la société spécialisée en chiffrement Virgil Security révèle avoir identifié plusieurs failles au sein de l’outil d’identification de Telegram, baptisé Passport.
Si elle a salué l’initiative de la société russe de proposer l’API de cette application en open source – permettant ainsi à des développeurs tiers d’analyser son code informatique – Virgil Security a noté deux problèmes avec cette application : la manière dont elle chiffre les informations, mais aussi celle dont elle protège les données stockées.
Telegram avait annoncé le lancement de Telegram Passport le 26 juillet dernier. Cette application a été imaginée pour permettre aux internautes de chiffrer leurs données d’identité personnelles, et de partager celles-ci avec d’autres sociétés : dans le cadre de leur participation à une Initial Coin Offering (ICO), de leur utilisation d’un crypto-portefeuille, ou encore pour être à même de respecter des règles « Know Your Customer » (KYC).
Mais Virgil Security s’inquiète de la manière dont seront protégés les mots de passe des utilisateurs, et estime que ceux-ci pourraient potentiellement être subtilisés par des pirates informatiques. Le modèle de fonctions de hachage SHA-512 sur lequel s’appuiera Telegram Passport laisserait ainsi les mots de passe vulnérables à des attaques par force brute – des attaques qui consistent à tester, une à une, l’ensemble des combinaisons possibles.
Les chercheurs précisent également que les données chiffrées des internautes seront uploadées dans le cloud de Telegram. Lorsque ces derniers voudront faire vérifier leur identité auprès d’un tiers, elles devront être déchiffrées puis à nouveau chiffrées – ce qui multiplierait les risques d’attaques
« Le niveau de sécurité des données que vous uploadez sur le cloud de Telegram est étroitement lié à la force de votre mot de passe, dans la mesure où les attaques par force brute sont simples avec l’algorithme de hachage choisi. Par ailleurs, l’absence d’une signature numérique permet à vos données d’être modifiées, sans que vous ni leur destinataire ne puisse en être conscients », précisé l’entreprise.
Telegram Open Network : 1,7 milliard de dollars levés pour développer une « blockchain de 3ème génération »
En mars dernier, les fondateurs de Telegram – Pavel et Nikolai Durov – révélaient avoir levé 850 millions de dollars supplémentaires au cours d’un deuxième tour de table, portant le total des sommes récoltées à 1,7 milliard de dollars.
Ce véritable trésor de guerre devrait permettre à la société de financer le développement de la plateforme Telegram Open Network (TON). Présentée comme une « blockchain de troisième génération », celle-ci devrait être en mesure de traiter plus d’un million de transactions par seconde, en proposant des frais quasi-nuls.
En mai, les dirigeants avaient décidé d’annuler l’ICO publique du TON, estimant que les sommes qu’ils étaient déjà parvenus à lever étaient suffisantes pour mener à bien leur projet.
Références : CoinTelegraph, CoinDesk