web-dev-qa-db-fra.com

Le télégramme est-il sécurisé?

Il y a une nouvelle application WhatsApp-killer appelée Telegram . Ils ont dit que c'était open source et qu'il avait plus cryptage sécurisé .

Mais ils stockent tous les messages sur leurs serveurs et WhatsApp ne stocke pas tous les messages sur n'importe quel serveur, seulement une copie locale dans les téléphones.

Telegram est-il plus sûr que WhatsApp ?

encryptioncryptographysmartphoneinstant-messagingtelegram
222
ilazgo

TL; DR: Non, le télégramme n'est pas sécurisé .

Je voudrais ignorer la comparaison avec WhatsApp car WhatsApp ne se présente pas comme une option de messagerie "sécurisée". Je voudrais plutôt me concentrer sur la sécurité du télégramme.

La sécurité de Telegram est construite autour de son protocole filé à domicile MTProto . Nous savons tous que la première règle de la cryptographie est Ne roulez pas votre propre crypto . Surtout si vous n'êtes pas un cryptographe qualifié. Ce que les télégrammes ne sont certainement pas.

L'équipe derrière Telegram, dirigée par Nikolai Durov, se compose de six champions de l'ACM, dont la moitié sont titulaires d'un doctorat en mathématiques. Il leur a fallu environ deux ans pour déployer la version actuelle de MTProto. Les noms et les diplômes peuvent en effet ne pas signifier autant dans certains domaines que dans d'autres, mais ce protocole est le résultat d'un travail réfléchi et prolongé de professionnels.

Source: https://news.ycombinator.com/item?id=691686

Les docteurs en mathématiques ne sont pas cryptographes. Le protocole qu'ils ont inventé est défectueux. ici est un joli article de blog expliquant pourquoi. En plus de cela, Telegram a lancé un défi plutôt ridicule offrant une récompense à toute personne qui peut enfreindre le protocole. Sauf que les termes qu'ils fixent rendent difficile à rompre même le protocole le plus ridiculement faible. Moxie Marlinspike a une belle article de blog expliquant pourquoi le défi est ridicule.

Donc non. Le télégramme n'est en aucun cas sécurisé. Pour les définitions communément acceptées de sécurisé, pas celui que Telegram a inventé.

Si vous voulez un réel moyen de communication sécurisé sur votre téléphone, recherchez des projets plus réputés tels que Signal ou WhatsApp (qui, depuis cette réponse a été écrite pour la première fois, utilise désormais le protocole de signal pour le chiffrement des messages de bout en bout).

[~ # ~] mise à jour [~ # ~]

  • 09 janvier 2015: Une nouvelle attaque 2 ^ 64 On Telegram a été annoncée.
  • 12 décembre 2015: A nouveau document démontrant que MTProto n'est pas sécurisé IND-CCA.
  • 22 décembre 2017: Remplacement d'une recommandation obsolète pour CryptoCat par une recommandation plus à jour pour Signal et WhatsApp.
238
user10211

Comme le Telegram [[# #]] faq [~ # ~] le mentionne, il existe une option de "chat secret" qui ne stocke pas les chats sur leurs serveurs.

Quant à la question sous-jacente de "le stockage des chats réduit-il leur sécurité?" alors c'est quelque chose à considérer. Les conversations enregistrées sur le serveur signifient que des copies peuvent être effectuées sur le serveur pour être déchiffrées ultérieurement. Cela augmente l'exposition des messages. Le chiffrement des messages signifie qu'il y a un coût élevé pour déchiffrer les messages, mais il y a encore une certaine exposition.

Compte tenu de cette exposition supplémentaire, la vraie question devient (comme elle le fait toujours), "de quoi vous protégez-vous?" Si vous vous inquiétez des communications sécurisées en transit, alors Telegram "semble" être plus sécurisé. Si vous êtes inquiet au sujet des communications sécurisées au repos, alors WhatsApp `` semble '' avoir un meilleur modèle, sauf qu'aucune n'est cryptée.

La réponse est alors "cela dépend de votre concentration", et le cryptage est meilleur que le non-cryptage, et il y a l'option "chat sécurisé" du Telegram.

Novembre 2015:

De nouvelles recherches montrent des problèmes profonds avec la cryptographie: https://medium.com/@thegrugq/operational-telegram-cbbaadb9013a#.gb7od1j6i

17
schroeder

Scorecard Secure Messaging Scorecard évalue actuellement "Telegram (conversations secrètes)" avec une cote de sécurité de 100%. Cependant, le logiciel des serveurs que Telegram utilise n'est pas ouvert; cf. le FAQ " Pourquoi ne pas tout open source? "

WhatsApp a été ancré sur la mesure " Le code est-il ouvert à un examen indépendant? ". Le télégramme est maintenant complètement ouvert; code source ici . Étant ouvert, vous pouvez vérifier par vous-même qu'il n'y a pas de portes dérobées qui pourraient éventuellement être dans une application fermée. WhatsApp est à source fermée maintenant qu'il est devenu propriétaire (Facebook l'a acheté).

Une bonne alternative est Tox ou Signal , qui est ouvert et crypté peer-to-peer/end-to-end uniquement et a reçu une haute cote EFF .

14
Geremia

EFF compare toutes les applications de messagerie et publie les résultats dans le lien Secure Messaging Scorecard .

note: EFF compare Telegram en mode de chats secrets avec WhatsApp

Les critères du FEP sont:

  1. messages cryptés en transit? les deux , le télégramme utilise le protocole MTProto et Whatsapp utilise un protocole non divulgué
  2. chiffré pour que le fournisseur ne puisse pas le lire? this criterion requires that all user communications are end-to-end encrypted. This means the keys necessary to decrypt messages must be generated and stored at the endpoints (i.e. by users, not by servers) le télégramme a ce critère mais Whatsapp ne l'a pas
  3. pouvez-vous vérifier l'identité des contacts? this criterion requires that a built-in method exists for users to verify the identity of correspondents they are speaking with and the integrity of the channel, even if the service provider or other third parties are compromised le télégramme a ce critère mais Whatsapp ne l'a pas
  4. les communications passées sont-elles sécurisées en cas de vol de votre clé? this criterion requires that the app provide forward secrecy le télégramme a ce critère mais Whatsapp ne l'a pas
  5. le code est-il ouvert à un examen indépendant? le télégramme a ce critère mais Whatsapp ne l'a pas
  6. la conception de la sécurité est-elle correctement documentée? this criterion requires clear and detailed explanations of the cryptography used by the application le télégramme a ce critère mais Whatsapp ne l'a pas
  7. y a-t-il eu un audit de code récent? this criterion requires an independent security review has been performed within the 12 months prior to evaluation les deux l'ont

enfin, le résultat est que Telegram est plus sécurisé que Whatsapp

6
0skar

Outre les problèmes de protocole, l'application elle-même n'est pas très sécurisée. En février 2015, Zimperium a publié une analyse détaillée de la vulnérabilité locale de Telegram, permettant à l'attaquant d'obtenir un accès complet aux messages en texte brut.

Fondamentalement, même si le protocole était sécurisé, l'application elle-même ne l'est pas, devenant le maillon faible de la communication sécurisée.

Selon Zimperium, l'équipe Telegram n'a jamais répondu à sa notification de vulnérabilité. Cela me dit quelque chose sur leur attitude vis-à-vis de la sécurité en général et correspond, par exemple, à la façon dont ils mettent en œuvre les "chats sécurisés": pas de support de bureau, empreinte digitale de la clé uniquement graphique, pas de possibilité de saisir simplement la clé.

5
texnic