Telegram : "la pire messagerie sécurisée"

Depuis qu'il a été annoncé que les deux djihadistes ayant assassiné le père Hamel utilisaient la messagerie chiffrée Telegram, cette application est devenue une sorte de "superstar" des échanges sécurisés.  La réalité est pourtant bien différente de ce que la presse généraliste déclare à propos de cette messagerie… " à fuir en terme de sécurité", selon les spécialistes.

dans
Le djihad est dans l'appli, Telegram, une messagerie sur mesure pour les djihadistes : ces deux titres du quotidien français Libération de ce mercredi 3 juillet 2016 résument parfaitement l'emballement médiatique à propos de l'application de messagerie Internet Telegram, désormais déclarée par le quotidien comme "ultra-sécurisée".  A lire les propos de la presse généraliste, Telegram serait une application dotée de qualités techniques "quasi militaires", particulièrement en termes de cryptographie informatique, donc de chiffrement des données…

Les deux assassins du père Hamel utilisaient cette messagerie chiffrée pour préparer leur forfait, l'Etat islamique s'en sert comme outil de diffusion sur Internet : l'appli serait donc un outil hyper performant pour les terroristes, capable de mettre en échec les services anti-terroristes. La réalité, sous l'œil des spécialistes, est bien plus nuancée. Voire inverse.

Fascination journalistique pour Internet ?

Dès qu'Internet entre en jeu dans la préparation d'un attentat, un flot d'affirmations alarmistes et anxiogènes ne manque jamais de survenir, que ce soit dans la parole politique ou sous le clavier des journalistes. Le réseau mondial et ses technologies deviennent alors, en général, une sorte "d'arme de destruction massive", incontrôlée et ultra puissante, qui donnerait aux terroristes un avantage énorme par rapport aux Etats qui les combattent.
Un titre annonçant "Le djihad est dans l'enveloppe" serait-il possible si les terroristes avaient utilisé la Poste pour préparer leur attentat ?
Un titre annonçant "Le djihad est dans l'enveloppe" serait-il possible si les terroristes avaient utilisé la Poste pour préparer leur attentat ?
Les questions du "contrôle" d'Internet, de la régulation des applications utilisées par les terroristes, de l'interdiction du chiffrement, surviennent alors immanquablement dans le débat. Etrangement, il n'est jamais question de démontrer la puissance — à l'inverse — des outils "analogiques du monde physique", quand Internet n'est pas utilisé, comme lors des attentats du 13 novembre 2015. Il était alors question de locations de voitures, d'échange de textos en clair avec des téléphones mobiles, de rencontres physiques, et d'organisation des attentats depuis un quartier de Bruxelles. Qui penserait mettre en cause la confidentialité des correspondances que la Poste assure à ses clients, si des terroristes utilisaient des courriers sous enveloppe pour organiser un attentat ? Personne. Mais avec Internet, il en va tout autrement.

Internet est-il un concept insuffisamment maîtrisé techniquement par les journalistes, au point de devenir ainsi une sorte de monstre mystérieux aux capacités étranges et sans limites ? Le cas de l'application de messagerie Telegram mérite dans tous les cas d'être traité précisément, pour rétablir quelques vérités sur cet outil en particulier, qui est loin d'être le plus fiable dans sa catégorie, et sur Internet en général, dans son utilisation par les djihadistes.

Telegram : la messagerie pas vraiment sécurisée de terroristes techniquement faibles

Telegram est un outil en ligne d'échanges de tous types de contenus, à l'instar de nombreux autres logiciels. Sa spécificité se situe au niveau de quelques fonctions de confidentialité, qui sont, plus précisément : le chiffrement des communications — pour empêcher d'autres personnes que des correspondants déterminés de pouvoir lire les contenus échangés — et l'effacement possible des communications. C'est sur ces deux capacités que Telegram — selon les termes de Libération —  est devenu une appli "ultra sécurisée", ainsi qu'une messagerie "sur mesure" pour les djihadistes.

Copie d'écran de l'application Telegram sur Mobile et système d'exploitation Android (Wikipedia)

Les professionnels du secteur, en développement d'applications, sécurité des systèmes et cryptographie, ne sont eux, pas du tout d'accord avec les éloges qui pleuvent sur Telegram. Et pour cause, cette application est considérée comme très peu fiable  par la plupart d'entre eux.

Telegram Messenger est une application de messagerie sécurisée hébergée sur le cloud. L'application gratuite est disponible sur Android, iOS, Windows Phone ainsi que sur ordinateur (Windows, OS X et Linux). Les utilisateurs peuvent échanger des messages, photos, vidéos et documents d'une taille allant jusqu'à 1,5 Go. Il est aussi possible d'envoyer des messages chiffrés de bout en bout qui ne sont pas stockés sur les serveurs de Telegram. Telegram a été créée en 2013 par les frères Nikolai et Pavel Durov, fondateurs de VKontakte, le réseau social dominant en Russie. Telegram est une organisation à but non lucratif indépendante de VKontakte. Elle est basée à Berlin. L'application revendique 100 millions d'utilisateurs dans le monde. (source : Wikipedia)

Le site américain spécialisé, Gizmodo, titrait le 24 juin dernier : "Pourquoi vous devriez arrêter tout de suite d'utiliser Telegram". Et le journaliste de citer les meilleurs experts en sécurité informatique qui expliquent en vrac : que le chiffrement des échanges n'est pas actif par défaut, laissant croire aux utilisateurs qu'ils communiquent de façon sécurisé, alors que c'est l'inverse.

Pavel Dourov, l'un des deux créateurs de Telegram, en 2012 (Photo : NickLubushko - CC BY-SA 4.0)

Que le protocole de chiffrement de Telegram a été entièrement écrit à partir de zéro par des mathématiciens non-spécialistes du domaine, ce qui relève d'une pratique très risquée, sans aucune garantie de la qualité technique du protocole. Cerise sur le gâteau : un chercheur en sécurité a démontré des failles de sécurité permettant de récupérer les métadonnées des utilisateurs et savoir ainsi qui se connecte à la messagerie, quand et avec quelle adresse IP. Quand on découvre ensuite que l'intégralité du carnet d'adresse de l'utilisateur est téléversé sur les serveurs de Telegram, la qualité d'appli "super-confidentielle et super-sécurisée" en prend définitivement pour son grade…

Internet n'existe pas, mais qui le sait ?

Internet n'a pas d'existence légale ou administrative, n'est pas cartographié et n'appartient à personne. Le réseau mondial n'est en réalité qu'une somme mouvante de protocoles de communications utilisés par des machines qui utilisent toutes les infrastructures de télécommunications possibles pour transférer des données d'un point à un autre.  Des nouvelles machines se raccordent au réseau en permanence, des nouvelles routes de communications apparaissent, d'autres disparaissent, sans chef d'orchestre ou organe centralisateur. Si une "instance d'Internet" comme l'ICANN gère les extensions de noms de domaine et l'attribution des adresses IP, il n'est pour autant pas possible de parler du réseau mondial comme d'un réseau administré. L'existence d'Internet est donc toute relative : ce sont surtout les données qui y circulent qui ont une existence, pas les applications qui y résident, souvent éphémères, ni les types de logiciels ou les moyens physiques pour s'y connecter, qui évoluent en permanence.

Internet : des technologies mouvantes basées sur l'échange de données (illustration : ThinkStock/cybrain)

Cette approche permet de mieux comprendre que vouloir lutter contre les djihadistes en s'attaquant à leur utilisation particulière d'Internet semble plus stérile qu'autre chose : les terroristes utilisent tout ou partie des possibilités qu'offre l'accès au réseau mondial, exactement comme n'importe qui, avec les mêmes limitations, efficacité… ou erreurs possibles. Le chiffrement des communications, par exemple, est équivalent à une salle (plus ou moins bien) insonorisée ou des terroristes peuvent préparer un attentat sans que les services de renseignement ne puissent entendre (potentiellement) ce qu'ils se disent. Mais une entreprise a elle aussi besoin qu'on ne puisse pas écouter ses réunions stratégiques, tout comme les particuliers ont besoin de protéger leur intimité. L'ANSSI (Agence nationale de sécurité des système d'information) a d'ailleurs rappelé récemment par la voix de son directeur général, Guillaume Poupard la nécessité de protéger les capacités de chiffrement des outils numériques :


"Parmi les outils de protection indispensables figurent au premier rang les moyens de cryptographie et notamment les technologies de chiffrement de l’information. Eux seuls permettent d’assurer une sécurité des données numériques sensibles, comme les échanges couverts par le secret de la défense nationale, les données de santé (…) les données stratégiques des entreprises, les données personnelles des citoyens"

La sécurité : un concept qui échappe un peu à Telegram


Le consultant en sécurité et développeur d'applications, Jef Mathiot, explique lui aussi ses doutes sur la fiabilité de Telegram : "la sécurité n'est pas qu'une affaire d'outils, c'est avant tout un processus. Ici, l'outil [Telegram, ndlr] est au mieux douteux sur le plan de la sécurité, et le processus, difficile à maîtriser, puisqu'il est très facile de commettre des erreurs. J'en veux pour preuve que les forces de l'ordre ont pu accéder aux communications privées des auteurs des attentats de St-Etienne-du-Rouvray très rapidement, ou que l'Express a pu se procurer des copies d'écran des groupes Telegram dans lesquels ils évoluaient. Si l'application était si sécurisée que ça, cela aurait été impossible, ou en tout cas très long."

L'utilisation de Telegram, en tant que telle, comporte de nombreuses caractéristiques étranges, qu'un outil sécurisé est normalement censé ne pas adopter, selon le consultant : "l'application se base sur l'envoi d'un SMS pour l'activation. Quiconque peut intercepter ce SMS — par exemple un opérateur de télécommunication — peut prendre la main sur le compte. En pratique, on sait que cela s'est passé à plusieurs reprises, en Iran et en Russie. De plus, dans le cas des échanges par groupes, les messages sont stockés sur les serveurs de Telegram, qui y a donc accès. Cela signifie que la compromission de l'un seul des membres, par exemple via l'interception d'un SMS, compromet tout le groupe et permet de récupérer l'historique de messages."

Sur son blog, l'expert en sécurité informatique "The Grugq" conclut pour sa part la synthèse technique de l'appli internet Telegram sans prendre de gants :

"In summary, Telegram is error prone, has wonky homebrew encryption, leaks voluminous metadata, steals the address book, and is now known as a terrorist hangout. I couldn’t possibly think of a worse combination for a safe messenger. "

"En résumé, l'application Telegram est sujette aux erreurs, comporte un chiffrement maison non-fiable, laisse fuir des métadonnées en masse, vole le carnet d'adresse de l'utilisateur et est connue comme un repaire de terroristes. Il est difficile de trouver pire pour une messagerie sécurisée."

Le spécialiste indique ensuite des applications de chiffrement équivalentes propres à êtres utilisées, et conclut à propos de Telegram :

"In short, for better protection, use anything else."
"Bref, pour une meilleure protection, utilisez n'importe quoi d'autre (que Telegram, ndlr)."

Les associations de défense des libertés numériques américaines estiment que les dirigeants de la société éditrice de Telegram collaborent très facilement avec les gouvernements ou leurs agences de renseignement, tels le FBI : une campagne de suppression de comptes Telegram de djihadistes a d'ailleurs eu lieu en novembre 2015. Les djihadistes les ont recréés, mais en fin de compte, n'est-il pas plus intéressant pour les autorités — aux vues de ses très contestables qualités de sécurité — de laisser les terroristes utiliser cette application, afin de mieux les surveiller  ?

La question reste entière…