Des pirates iraniens ont réussi à compromettre la sécurité de plus d’une dizaine de comptes du service de messagerie instantanée Telegram et à identifier les numéros de téléphone de 15 millions d’utilisateurs iraniens, dans le cadre de la plus importante brèche de sécurité du système de communication cryptée, ont fait savoir à Reuters des chercheurs en cybersécurité.
Ces attaques, qui ont eu lieu cette année et n’avaient pas encore été signalées, mettent en danger les échanges de militants, journalistes et autres personnes occupant des positions délicates en Iran, où Telegram est utilisé par quelque 20 millions de personnes, a indiqué le cyber chercheur indépendant Collin Anderson et le technologue d’Amnistie internationale Claudio Guarnieri, qui étudient les groupes de pirates iraniens depuis trois ans.
Telegram se décrit lui-même comme un service de messagerie instantanée ultrasécuritaire, car toutes ses données sont cryptées du début à la fin. D’autres services de messagerie, y compris WhatsApp, racheté par Facebook, disent posséder des capacités similaires.
Installée à Berlin, Telegram dit compter 100 millions d’utilisateurs actifs et est largement employé au Moyen-Orient, y compris par des militants du groupe armé État islamique, ainsi qu’en Asie centrale et du Sud-Est, ainsi qu’en Amérique latine.
La vulnérabilité de Telegram, selon MM. Anderson et Guarnieri, repose dans son utilisation de messages texte pour activer de nouveaux appareils. Lorsque les utilisateurs veulent se connecter au service à partir d’un nouveau téléphone, la compagnie leur envoie des codes d’autorisation via SMS, qui peuvent être interceptés par la compagnie de téléphonie et partagés avec des pirates, indiquent les chercheurs.
Armés des codes, les pirates peuvent ajouter de nouveaux appareils au compte d’un utilisateur de Telegram, leur permettant de lire les historiques des conversations, ainsi que les nouveaux messages. « Nous avons plus d’une dizaine de cas où des comptes Telegram ont été compromis, via des méthodes qui ressemblent en gros à une coordination avec les fournisseurs de téléphonie », mentionne M. Anderson en entrevue.
Le fait que Telegram s’appuie sur la vérification par SMS le rend vulnérable dans les pays où les compagnies de téléphonie appartiennent ou sont largement influencées par le gouvernement, ajoutent les chercheurs.
Un porte-parole de Telegram a indiqué que les abonnés peuvent lutter contre de telles attaques en ne s’appuyant pas uniquement sur la vérification par SMS. Le service permet – bien qu’il ne l’exige pas – la création de mots de passe par les utilisateurs, mots de passe qui peuvent être modifiés par courriel.
« Si vous avez un mot de passe solide et que votre adresse courriel est sécuritaire, alors un attaquant ne peut rien faire », mentionne Markus Ra, le porte-parole.
Des responsables iraniens n’étaient pas disponibles pour commenter. Par le passé, Téhéran a nié l’existence de possibles liens entre le gouvernement et le piratage.
Rocket Kitten
Les pirates de Telegram, disent les chercheurs, appartiennent à un groupe connu sous le nom de Rocket Kitten, qui emploie des références en perse dans leur code informatique et ont mené « un style commun de campagnes reflétant les intérêts et les activités de l’appareil sécuritaire iranien ».
MM. Anderson et Guarnieri n’ont pas voulu commenter à savoir si les pirates étaient employés par le gouvernement iranien. D’autres experts en cybersécurité ont souligné que les attaques de Rocket Kitten ressemblaient à celles attribuées à la puissante Garde républicaine iranienne.
Au dire des chercheurs, le groupe des victimes compte entre autres des militants politiques oeuvrant au sein de mouvements réformistes et d’organisations de l’opposition. Ils ont refusé de nommer les cibles, par crainte pour leur sécurité. « Nous avons constaté des occasions où des gens… sont ciblés avant leur arrestation », mentionne M. Anderson. « Nous voyons une tendance générale dans l’ensemble de ces actions. »
Toujours selon les chercheurs, il existe des preuves selon lesquelles les pirates ont tiré avantage d’une interface de programmation codée au sein de Telegram pour identifier au moins 15 millions de numéros de téléphone iraniens liés à des comptes Telegram, ainsi que les identifiants qui y sont associés. Cette information pourrait fournir une carte de la liste des utilisateurs dans ce pays, carte qui servirait à de futures attaques et enquêtes, poursuivent-ils.
De son côté, M. Ra a assuré que Telegram avait bloqué des tentatives de « cartographie » similaires par le passé, et que le service tentait d’améliorer ses stratégies de détection et de blocage.
Au dire d’experts en cybersécurité, les pirates iraniens sont devenus de plus en plus sophistiqués, et peuvent s’adapter aux habitudes changeantes des médias sociaux. Parmi les cibles de Rocket Kitten, on note des membres de la famille royale saoudienne, des scientifiques nucléaires israéliens, des dirigeants de l’OTAN et des dissidents iraniens, a indiqué en novembre dernier la firme de sécurité américano-israélienne Check Point.
Populaire au Moyen-Orient
Telegram a été fondée en 2013 par Pavel Durov, connu pour avoir lancé VKontakte, l’équivalent russe de Facebook, avant de fuir le pays, sous la pression du gouvernement.
Si Facebook et Twitter sont bannis en Iran, Telegram est largement utilisé par des groupes de l’ensemble du spectre politique. Ceux-ci ont partagé du contenu sur les « canaux » de Telegram et ont lancé un appel au vote en prévision des élections parlementaires iraniennes, en février 2016.
En octobre dernier, M. Durov a écrit sur Twitter que les autorités iraniennes avaient réclamé que la compagnie fournisse des « outils d’espionnage et de censure ». Il a précisé que Telegram avait ignoré la requête et avait été bloquée pendant deux heures, le 20 octobre 2015.
Un commentaire
Pingback: Piratage de Telegram en Iran : qui se cache derrière les hackeurs ? - Mes Actus