Fil d'Ariane
Telegram est un outil en ligne d'échanges de tous types de contenus, à l'instar de nombreux autres logiciels. Sa spécificité se situe au niveau de quelques fonctions de confidentialité, qui sont, plus précisément : le chiffrement des communications — pour empêcher d'autres personnes que des correspondants déterminés de pouvoir lire les contenus échangés — et l'effacement possible des communications. C'est sur ces deux capacités que Telegram — selon les termes de Libération — est devenu une appli "ultra sécurisée", ainsi qu'une messagerie "sur mesure" pour les djihadistes.
Les professionnels du secteur, en développement d'applications, sécurité des systèmes et cryptographie, ne sont eux, pas du tout d'accord avec les éloges qui pleuvent sur Telegram. Et pour cause, cette application est considérée comme très peu fiable par la plupart d'entre eux.
Telegram Messenger est une application de messagerie sécurisée hébergée sur le cloud. L'application gratuite est disponible sur Android, iOS, Windows Phone ainsi que sur ordinateur (Windows, OS X et Linux). Les utilisateurs peuvent échanger des messages, photos, vidéos et documents d'une taille allant jusqu'à 1,5 Go. Il est aussi possible d'envoyer des messages chiffrés de bout en bout qui ne sont pas stockés sur les serveurs de Telegram. Telegram a été créée en 2013 par les frères Nikolai et Pavel Durov, fondateurs de VKontakte, le réseau social dominant en Russie. Telegram est une organisation à but non lucratif indépendante de VKontakte. Elle est basée à Berlin. L'application revendique 100 millions d'utilisateurs dans le monde. (source : Wikipedia)
Le site américain spécialisé, Gizmodo, titrait le 24 juin dernier : "Pourquoi vous devriez arrêter tout de suite d'utiliser Telegram". Et le journaliste de citer les meilleurs experts en sécurité informatique qui expliquent en vrac : que le chiffrement des échanges n'est pas actif par défaut, laissant croire aux utilisateurs qu'ils communiquent de façon sécurisé, alors que c'est l'inverse.
Que le protocole de chiffrement de Telegram a été entièrement écrit à partir de zéro par des mathématiciens non-spécialistes du domaine, ce qui relève d'une pratique très risquée, sans aucune garantie de la qualité technique du protocole. Cerise sur le gâteau : un chercheur en sécurité a démontré des failles de sécurité permettant de récupérer les métadonnées des utilisateurs et savoir ainsi qui se connecte à la messagerie, quand et avec quelle adresse IP. Quand on découvre ensuite que l'intégralité du carnet d'adresse de l'utilisateur est téléversé sur les serveurs de Telegram, la qualité d'appli "super-confidentielle et super-sécurisée" en prend définitivement pour son grade…
Internet n'a pas d'existence légale ou administrative, n'est pas cartographié et n'appartient à personne. Le réseau mondial n'est en réalité qu'une somme mouvante de protocoles de communications utilisés par des machines qui utilisent toutes les infrastructures de télécommunications possibles pour transférer des données d'un point à un autre. Des nouvelles machines se raccordent au réseau en permanence, des nouvelles routes de communications apparaissent, d'autres disparaissent, sans chef d'orchestre ou organe centralisateur. Si une "instance d'Internet" comme l'ICANN gère les extensions de noms de domaine et l'attribution des adresses IP, il n'est pour autant pas possible de parler du réseau mondial comme d'un réseau administré. L'existence d'Internet est donc toute relative : ce sont surtout les données qui y circulent qui ont une existence, pas les applications qui y résident, souvent éphémères, ni les types de logiciels ou les moyens physiques pour s'y connecter, qui évoluent en permanence.
Cette approche permet de mieux comprendre que vouloir lutter contre les djihadistes en s'attaquant à leur utilisation particulière d'Internet semble plus stérile qu'autre chose : les terroristes utilisent tout ou partie des possibilités qu'offre l'accès au réseau mondial, exactement comme n'importe qui, avec les mêmes limitations, efficacité… ou erreurs possibles. Le chiffrement des communications, par exemple, est équivalent à une salle (plus ou moins bien) insonorisée ou des terroristes peuvent préparer un attentat sans que les services de renseignement ne puissent entendre (potentiellement) ce qu'ils se disent. Mais une entreprise a elle aussi besoin qu'on ne puisse pas écouter ses réunions stratégiques, tout comme les particuliers ont besoin de protéger leur intimité. L'ANSSI (Agence nationale de sécurité des système d'information) a d'ailleurs rappelé récemment par la voix de son directeur général, Guillaume Poupard la nécessité de protéger les capacités de chiffrement des outils numériques :
"Parmi les outils de protection indispensables figurent au premier rang les moyens de cryptographie et notamment les technologies de chiffrement de l’information. Eux seuls permettent d’assurer une sécurité des données numériques sensibles, comme les échanges couverts par le secret de la défense nationale, les données de santé (…) les données stratégiques des entreprises, les données personnelles des citoyens"
Le consultant en sécurité et développeur d'applications, Jef Mathiot, explique lui aussi ses doutes sur la fiabilité de Telegram : "la sécurité n'est pas qu'une affaire d'outils, c'est avant tout un processus. Ici, l'outil [Telegram, ndlr] est au mieux douteux sur le plan de la sécurité, et le processus, difficile à maîtriser, puisqu'il est très facile de commettre des erreurs. J'en veux pour preuve que les forces de l'ordre ont pu accéder aux communications privées des auteurs des attentats de St-Etienne-du-Rouvray très rapidement, ou que l'Express a pu se procurer des copies d'écran des groupes Telegram dans lesquels ils évoluaient. Si l'application était si sécurisée que ça, cela aurait été impossible, ou en tout cas très long."
L'utilisation de Telegram, en tant que telle, comporte de nombreuses caractéristiques étranges, qu'un outil sécurisé est normalement censé ne pas adopter, selon le consultant : "l'application se base sur l'envoi d'un SMS pour l'activation. Quiconque peut intercepter ce SMS — par exemple un opérateur de télécommunication — peut prendre la main sur le compte. En pratique, on sait que cela s'est passé à plusieurs reprises, en Iran et en Russie. De plus, dans le cas des échanges par groupes, les messages sont stockés sur les serveurs de Telegram, qui y a donc accès. Cela signifie que la compromission de l'un seul des membres, par exemple via l'interception d'un SMS, compromet tout le groupe et permet de récupérer l'historique de messages."
Sur son blog, l'expert en sécurité informatique "The Grugq" conclut pour sa part la synthèse technique de l'appli internet Telegram sans prendre de gants :
"In summary, Telegram is error prone, has wonky homebrew encryption, leaks voluminous metadata, steals the address book, and is now known as a terrorist hangout. I couldn’t possibly think of a worse combination for a safe messenger. "
"En résumé, l'application Telegram est sujette aux erreurs, comporte un chiffrement maison non-fiable, laisse fuir des métadonnées en masse, vole le carnet d'adresse de l'utilisateur et est connue comme un repaire de terroristes. Il est difficile de trouver pire pour une messagerie sécurisée."
Le spécialiste indique ensuite des applications de chiffrement équivalentes propres à êtres utilisées, et conclut à propos de Telegram :
"In short, for better protection, use anything else."
"Bref, pour une meilleure protection, utilisez n'importe quoi d'autre (que Telegram, ndlr)."
Les associations de défense des libertés numériques américaines estiment que les dirigeants de la société éditrice de Telegram collaborent très facilement avec les gouvernements ou leurs agences de renseignement, tels le FBI : une campagne de suppression de comptes Telegram de djihadistes a d'ailleurs eu lieu en novembre 2015. Les djihadistes les ont recréés, mais en fin de compte, n'est-il pas plus intéressant pour les autorités — aux vues de ses très contestables qualités de sécurité — de laisser les terroristes utiliser cette application, afin de mieux les surveiller ?
La question reste entière…