Telegram, application de messagerie chiffrée réputée pour son haut niveau de confidentialité, a été piratée en Iran. Les hackeurs auraient réussi à prendre le contrôle d'une douzaine de comptes et à obtenir une liste de 15 millions de numéros de téléphone, rapporte Reuters. Selon une étude du Centre de sondage des étudiants iraniens (Ispa) qui date de décembre 2015, environ 20 millions d'Iraniens disposent d'un compte sur Telegram, soit près d'un quart de la population.
L'attaque a eu lieu dans l'année, affirment le chercheur indépendant Collin Anderson et le «technologue» d'Amnesty International Claudio Guarnieri, qui étudient les groupes de hackeurs iraniens depuis trois ans. Les deux hommes ont révélé la faille à l'agence de presse Reuters et devraient approfondir leurs explications jeudi lors de la Black Hat 2016, une conférence sur la sécurité de l'information organisée à Las Vegas.
Interceptions de SMS
Les pirates se seraient introduits dans une des brèches de la messagerie : son système de vérification par SMS. Quand un utilisateur s'identifie pour la première fois sur l'application, Telegram envoie un SMS, ce que de nombreuses messageries font, à l'instar de WhatsApp. Les chercheurs précisent que ces messages peuvent être interceptés par les compagnies de télécommunication. Si le code d'autorisation est transmis aux hackeurs, ces derniers pourraient se connecter au compte Telegram de l'utilisateur via un nouveau support, un ordinateur par exemple. «Nous avons une douzaine de cas dans lesquels les comptes ont été "hackés" grâce à un procédé qui ressemble à une coordination avec les opérateurs téléphoniques», précise Collin Anderson à Reuters.
Autre faille identifiée : via l'interface de programmation (Application Programming Interface, API) de Telegram, qui est en accès libre pour les développeurs, les pirates auraient identifié des millions d'utilisateurs iraniens. Pavel Durov, le cofondateur et PDG de la messagerie, reconnaît dans son communiqué que «comme Telegram est basé sur les numéros de téléphone, toute personne peut potentiellement vérifier si un numéro est enregistré dans le système».
Rocket Kitten
Pavel Durov a déjà répondu à l'annonce de l'attaque par un post de blog intitulé «Gardez votre calme et envoyez des Telegrams !» Selon lui, «seules des données disponibles publiquement ont été recueillies et il n'y a pas eu d'accès aux comptes eux-mêmes». Il rappelle qu'une fonction, pour doubler la sécurité de l'identification, a été mise en place cette année et redirige vers la FAQ («foire aux questions») de son site, qui précise : «Si vous désirez une sécurité plus forte ou avez des raisons de douter de votre opérateur mobile ou de votre gouvernement, nous vous recommandons de protéger vos tchats dans le cloud avec un mot de passe additionnel.» Cette fonctionnalité peut être activée en modifiant les paramètres de sécurité de l'application.
Les experts craignent que l'action ait été orchestrée par les autorités iraniennes. Les deux chercheurs incriminent le groupe de pirates Rocket Kitten, connu pour avoir mené des attaques informatiques contre les opposants au régime iranien. Selon le site Check Point, cette cellule aurait des liens avec les Gardiens de la révolution, une organisation paramilitaire chargée de défendre la République islamique d'Iran. Les victimes, dont les chercheurs n'ont pas donné les noms, seraient en grande partie des activités politiques et des associations d'opposition. Ce qui confirmerait les motivations du groupe de hackeurs.
Hostilité des autorités
En Iran, où Twitter et Facebook sont censurés, Telegram permettait jusqu’ici d’échapper au contrôle des autorités. Lors de la campagne pour les élections législatives, qui s’est déroulée entre février et avril 2016, l’application a servi de lieu de débats, d’incitations au vote et d’échanges d’informations, ou de rumeurs. Les personnalités et les partis politiques sont nombreux à y avoir créé leur chaîne publique. De nombreux dissidents y trouvent aussi une audience. Cette fuite massive de numéros de téléphone pourrait donc avoir des conséquences sur la liberté des citoyens, et pourrait mettre en danger les opposants.
D’autant plus que le gouvernement ne cache pas son hostilité à l’application. Début 2016, le Haut conseil du cyberespace, dirigé par le président Hassan Rohani, a annoncé une mesure qui pourrait entraver la sécurité de Telegram. D’ici mai 2017, toutes les applications de messagerie devront avoir rapatrié leurs serveurs, et donc les données des utilisateurs iraniens dans le pays. Le service propose des conversations en groupe et des chaînes de diffusion dont le contenu transite par les serveurs. Jusqu’ici, l’application rassurait ses utilisateurs en brandissant l’argument que les serveurs étaient disséminés dans plusieurs Etats. Pour l’instant, Telegram n’a rien annoncé concernant son avenir dans le pays.