Telegram: Une faille peut révéler votre position exacte
Publié

TelegramUne faille peut révéler votre position exacte

Les personnes utilisant la fonction «Personnes à proximité» sur l’app de messagerie instantanée sécurisée peuvent se faire géolocaliser avec précision à leur insu.

Lancée en 2013, l’app Telegram a franchi le cap des 400 millions d’utilisateurs en 2020.

Lancée en 2013, l’app Telegram a franchi le cap des 400 millions d’utilisateurs en 2020.

Hans Lucas via AFP

Permettant de voir quels autres utilisateurs se trouvent dans les alentours, la fonction «Personnes à proximité» de l’app Telegram peut se retourner contre les personnes ne souhaitant pas révéler leur géolocalisation exacte, dans la plupart des cas leur adresse personnelle.

C’est ce qu’a démontré le chercheur en sécurité Ahmed Hassan. Sur son blog, l’expert explique qu’il est possible de déterminer l’emplacement exact d’un utilisateur. Il suffit d’utiliser un smartphone Android rooté (débridé) et d’installer l’app GPS Spoof, qui permet de falsifier les coordonnées GPS. La fonction «Personnes à proximité», désactivée par défaut, liste les utilisateurs se trouvant dans les environs en affichant pour chacun la distance qui les sépare de la personne. Il suffit ainsi au hacker de changer trois fois d’emplacement pour déterminer la position exacte de sa cible par triangulation.

Contacté fin décembre par le chercheur, Telegram ne s’est pas montré surpris par la découverte. La plateforme lui a indiqué deux semaines plus tard qu’il n’avait pas l’intention d’apporter de correctif, cette faille n’étant pas un vrai problème pour elle: «Les utilisateurs dans la section «Personnes à proximité» partagent intentionnellement leur emplacement, et cette fonction est désactivée par défaut. On s’attend à ce qu’il soit possible de déterminer l’emplacement exact sous certaines conditions», ont répondu les développeurs de l’app.

Pourtant, pour une faille de confidentialité similaire dénichée il y a quelques années sur l’app de messagerie Line, le même chercheur avait été récompensé de 1000 dollars par la société d’origine japonaise. «Malheureusement, ce n’est pas couvert par notre programme de primes aux bugs», lui a au contraire répondu Telegram.

(man)

Ton opinion

13 commentaires