Selon la messagerie instantanée chiffrée Telegram, l’identification des numéros de 15 millions d’utilisateurs iraniens de son service ne résulte pas d’une attaque. Hier, deux chercheurs indépendants, Claudio Guarnieri et Collin Anderson, qui doivent intervenir sur la conférence Black Hat 2016 (qui se tient en ce moment à Las Vegas, 30 juillet–4 août 2016) ont expliqué à Reuters que des comptes Telegram avaient été piratés par l'interception de codes de confirmation par SMS envoyés sur les numéros de téléphone associés. Sur son site, l’équipe du service de messagerie explique dans un billet que des personnes ont vérifié si certains numéros de téléphone iraniens étaient enregistrés sur Telegram et qu’elles ont pu le confirmer pour 15 millions de comptes. Seules les données publiquement disponibles ont été récupérées et les comptes eux-mêmes n’ont pas été compromis, selon le service chiffré. « De telles vérifications de masse ne sont plus possibles depuis que nous avons apporté certaines limites à notre API cette année. Toutefois, comme Telegram s’appuie sur les contacts téléphoniques, tout un chacun peut potentiellement vérifier si un numéro de téléphone est enregistré sur le système. C’est également vrai pour tout autre app de messagerie basée sur les contacts (WhatsApp, Messenger, etc.) », pointe l’équipe du service.

Par ailleurs, en ce qui concerne l’interception de codes de vérification par SMS qui aurait permis d’accéder à plusieurs comptes depuis le début de l’année, Telegram rappelle qu’il ne s’agit pas d’une menace nouvelle. « Et nous avons avons averti de plus en plus fréquemment nos utilisateurs dans certains pays à ce sujet. » Pour y pallier, le service a introduit l’an dernier une vérification en deux étapes.

Sur Black Hat 2016, une session sur le cyber-espionnage en Iran

Les chercheurs Claudio Guarnieri et Collin Anderson étudient l’activité de groupes de pirates iraniens depuis trois ans. Ils ont indiqué à Reuters que les 15 millions de numéros de téléphone avaient été identifiés par un groupe de cyber-espionnage, Rocket Kitten, supposé avoir des liens avec le gouvernement iranien. Le groupe n’a pas fait fuiter les numéros. Les deux chercheurs les ont trouvés sur les serveurs de Rocket Kitten, ainsi que Collin Anderson l'a indiqué sur Twitter. Ils prévoient d’en dire davantage sur ces intrusions et sur d’autres dirigées contre les Iraniens, lors d’une présentation sur le cyber-espionnage intitulée « Iran soft-war for Internet dominance » qu’ils feront demain sur la conférence de sécurité Black Hat 2016.

Ces révélations montrent encore une fois comment l'utilisation du chiffrement peut opposer fournisseurs de technologie et gouvernements. Le fondateur de Telegram, Pavel Durov, a notamment soutenu le CEO d'Apple Tim Cook face au FBI qui lui demandait de l'aider à accéder au contenu d'un smartphone.

Le NIST s'interroge sur le SMS comme 2ème facteur d'authentification

Concernant Telegram, Collin Anderson a pris note des modifications dans l’API tout en souhaitant que les recommandations de sécurité soient aussi communiquées en langue farsi pour s’assurer que davantage d’utilisateurs iraniens soient avertis de la nécessité d’utiliser une vérification à double facteur. Mais le fait de combiner l’authentification par SMS avec des mots de passe ne satisfait pas tout le monde. Aux Etats-Unis, l’Institut national des standards et de la technologie (NIST) envisage de supprimer de ses recommandations les SMS comme deuxième facteur d’authentification pour sécuriser les systèmes informatiques et de communication gouvernementaux. La semaine dernière, il a commencé à faire circuler une ébauche de recommandations pour recueillir les commentaires publics.