Hache Sharma – 4 octobre 2021 14 h 12 UTC

Telegram a corrigé un autre bogue d’autodestruction d’image dans son application plus tôt cette année. Cette faille était un problème différent de celui signalé en 2019. Mais le chercheur qui a signalé le bogue n’est pas satisfait du délai d’exécution de plusieurs mois de Telegram et d’une prime de ≥ 000 (1 159 $) offerte en échange de son silence.

Comme d’autres applications de messagerie, Telegram permet aux expéditeurs de définir les communications sur “l’autodestruction”, de sorte que les messages et toutes les pièces jointes multimédias sont automatiquement supprimés de l’appareil après une période de temps définie. Une telle fonctionnalité offre une confidentialité étendue aux expéditeurs et aux destinataires souhaitant communiquer discrètement.

En février 2021, Telegram a introduit un ensemble de ces fonctionnalités de suppression automatique dans sa version 2.6 :

Configurez la suppression automatique des messages pour tout le monde 24 heures ou 7 jours après l’envoi Contrôlez les paramètres de suppression automatique dans l’un de vos chats, ainsi que dans les groupes et les canaux où vous êtes administrateur liste de discussion > Effacer l’historique > Activer la suppression automatique

Mais en quelques jours, le chercheur anonyme Dmitrii a découvert une faille inquiétante dans la façon dont l’application Android Telegram avait mis en œuvre l’autodestruction.

Étant donné que chaque instance d’autodestruction prend au moins 24 heures pour s’exécuter, les tests de Dmitrii ont duré quelques jours.

“Après seulement quelques jours… après avoir fait preuve de diligence, j’ai atteint ce que je cherchais : les messages qui devraient être automatiquement supprimés des participants aux discussions de groupe privées et privées n’ont été “supprimés” que visuellement [in the messaging window], mais en réalité, les messages image sont restés sur l’appareil [in] la cache”, a écrit le chercheur dans un article de blog grossièrement traduit et publié la semaine dernière.

Suivie sous CVE-2021-41861, la faille est plutôt simple. Dans les versions 7.5.0 à 7.8.0 de l’application Android Telegram, les images auto-détruites restent sur l’appareil dans le /Storage/Emulated/0/Telegram/Telegram Imagerépertoire après environ deux à quatre utilisations de la fonction d’autodestruction. Mais l’interface utilisateur semble indiquer à l’utilisateur que le support a été correctement détruit.

Mais pour un simple bogue comme celui-ci, il n’était pas facile d’attirer l’attention de Telegram, a expliqué Dmitrii. Le chercheur a contacté Telegram début mars. Et après une série d’e-mails et de correspondance textuelle entre le chercheur et Telegram s’étendant sur des mois, la société a contacté Dmitrii en septembre, confirmant finalement l’existence du bogue et collaborant avec le chercheur lors des tests bêta. Pour ses efforts, Dmitrii s’est vu offrir une prime de bogue de ¥ 000 (1 159 $).

Bien que de nombreuses entreprises proposant des programmes de primes aux bogues offrent des récompenses monétaires aux pirates éthiques qui identifient et signalent de manière responsable les vulnérabilités, la divulgation des failles de sécurité est généralement autorisée après une période convenue de 60 ou 90 jours.

“Après avoir étudié le contrat envoyé par email par un représentant de Telegram, j’ai attiré l’attention sur le fait que Telegram exige [me] de ne divulguer aucun détail de coopération/détails techniques par défaut sans son approbation écrite”, a écrit Dmitrii, faisant référence à l’accord de huit pages que la société a fourni au chercheur.

Depuis lors, le chercheur affirme avoir été fantôme par Telegram, qui n’a donné aucune réponse et aucune récompense. “Je n’ai pas reçu la récompense promise de Telegram en ¥ 000 ou autre”, a-t-il écrit.

Fait intéressant, en 2019, un bogue distinct également lié à la fonction d’autodestruction a été signalé par un autre chercheur qui est reparti avec une prime de bogue plus élevée – une récompense de 鈧?, 500 (2 897 $) plutôt qu’un maigre 鈧?, 000.

Le programme de signalement des vulnérabilités de Telegram, géré par HackerOne, n’est pas clair non plus sur le protocole de divulgation responsable de l’entreprise. Le document est lié à une FAQ qui mentionne des “primes” et des “concours de craquage” organisés par Telegram, mais il n’y a rien sur si ou quand les problèmes de sécurité peuvent être divulgués.

La dernière version de l’application Android Telegram publiée le 22 septembre, vue par Ars, est la v8.1.2 sur le Google Play Store, bien que le bogue signalé ait probablement été corrigé dans une version antérieure. Quoi qu’il en soit, les utilisateurs de Telegram doivent mettre à jour leur application vers la dernière version pour recevoir les mises à jour de sécurité actuelles et futures.