Telegram Passport serait vulnérable à des attaques par force brute

Après avoir levé 1,7 mil­liard de dol­lars à tra­vers son ICO pri­vée, Tele­gram a pré­sen­té sa pre­mière cryp­to-fonc­tion­na­li­té – mais les cher­cheurs en sécu­ri­té res­tent sceptiques.

Dans un article publié ce mer­cre­di, la socié­té spé­cia­li­sée en chif­fre­ment Vir­gil Secu­ri­ty révèle avoir iden­ti­fié plu­sieurs failles au sein de l’ou­til d’i­den­ti­fi­ca­tion de Tele­gram, bap­ti­sé Pas­sport.

Si elle a salué l’i­ni­tia­tive de la socié­té russe de pro­po­ser l’A­PI de cette appli­ca­tion en open source – per­met­tant ain­si à des déve­lop­peurs tiers d’a­na­ly­ser son code infor­ma­tique – Vir­gil Secu­ri­ty a noté deux pro­blèmes avec cette appli­ca­tion : la manière dont elle chiffre les infor­ma­tions, mais aus­si celle dont elle pro­tège les don­nées stockées.

Tele­gram avait annon­cé le lan­ce­ment de Tele­gram Pas­sport le 26 juillet der­nier. Cette appli­ca­tion a été ima­gi­née pour per­mettre aux inter­nautes de chif­frer leurs don­nées d’i­den­ti­té per­son­nelles, et de par­ta­ger celles-ci avec d’autres socié­tés : dans le cadre de leur par­ti­ci­pa­tion à une Ini­tial Coin Offe­ring (ICO), de leur uti­li­sa­tion d’un cryp­to-por­te­feuille, ou encore pour être à même de res­pec­ter des règles « Know Your Cus­to­mer » (KYC).

Mais Vir­gil Secu­ri­ty s’in­quiète de la manière dont seront pro­té­gés les mots de passe des uti­li­sa­teurs, et estime que ceux-ci pour­raient poten­tiel­le­ment être sub­ti­li­sés par des pirates infor­ma­tiques. Le modèle de fonc­tions de hachage SHA-512 sur lequel s’ap­puie­ra Tele­gram Pas­sport lais­se­rait ain­si les mots de passe vul­né­rables à des attaques par force brute – des attaques qui consistent à tes­ter, une à une, l’en­semble des com­bi­nai­sons possibles.

Les cher­cheurs pré­cisent éga­le­ment que les don­nées chif­frées des inter­nautes seront uploa­dées dans le cloud de Tele­gram. Lorsque ces der­niers vou­dront faire véri­fier leur iden­ti­té auprès d’un tiers, elles devront être déchif­frées puis à nou­veau chif­frées – ce qui mul­ti­plie­rait les risques d’attaques

« Le niveau de sécu­ri­té des don­nées que vous uploa­dez sur le cloud de Tele­gram est étroi­te­ment lié à la force de votre mot de passe, dans la mesure où les attaques par force brute sont simples avec l’al­go­rithme de hachage choi­si. Par ailleurs, l’ab­sence d’une signa­ture numé­rique per­met à vos don­nées d’être modi­fiées, sans que vous ni leur des­ti­na­taire ne puisse en être conscients », pré­ci­sé l’entreprise.

Telegram Open Network : 1,7 milliard de dollars levés pour développer une « blockchain de 3ème génération »

En mars der­nier, les fon­da­teurs de Tele­gram – Pavel et Niko­lai Durov – révé­laient avoir levé 850 mil­lions de dol­lars sup­plé­men­taires au cours d’un deuxième tour de table, por­tant le total des sommes récol­tées à 1,7 mil­liard de dol­lars.

Ce véri­table tré­sor de guerre devrait per­mettre à la socié­té de finan­cer le déve­lop­pe­ment de la pla­te­forme Tele­gram Open Net­work (TON). Pré­sen­tée comme une « blo­ck­chain de troi­sième géné­ra­tion », celle-ci devrait être en mesure de trai­ter plus d’un mil­lion de tran­sac­tions par seconde, en pro­po­sant des frais quasi-nuls.

En mai, les diri­geants avaient déci­dé d’an­nu­ler l’I­CO publique du TON, esti­mant que les sommes qu’ils étaient déjà par­ve­nus à lever étaient suf­fi­santes pour mener à bien leur projet.

Réfé­rences : Coin­Te­le­graph, Coin­Desk