La société de sécurité Blockchain CertiK a publié un nouveau rapport montrant qu'il existe une nouvelle vulnérabilité sur Telegram Messenger qui expose les utilisateurs à des attaques malveillantes. Dans son article sur X, la société de sécurité a mentionné la vulnérabilité que les pirates pourraient utiliser pour déployer une attaque d’exécution de code à distance (RCE) via le traitement multimédia de Telegram.
CertiK détaille la vulnérabilité de l'application de bureau de Telegram
Le message précise que les pirates pourraient profiter du traitement multimédia sur l’application de bureau de Telegram, déployant ainsi l’attaque RCE. CertiK a noté que les utilisateurs pourraient être exposés à ces attaques malveillantes via des fichiers multimédias spécialement créés. "Ce problème expose les utilisateurs à des attaques malveillantes via des fichiers multimédias spécialement conçus, tels que des images ou des vidéos", a déclaré CertiK.
#CertiKInsight ⚠️Nous constatons une vulnérabilité à haut risque dans la nature, veuillez vérifier vos configurations de télégramme pour améliorer la sécurité !👇👇👇👇👇Un RCE possible a été détecté dans le traitement multimédia de Telegram dans l'application Telegram Desktop. Ce problème expose les utilisateurs à des attaques malveillantes via…
– Alerte CertiK (@CertiKAlert) 9 avril 2024
Selon un porte-parole de CertiK, cette vulnérabilité est limitée à l'application de bureau. Il note que l'application mobile n'exécute pas directement les programmes exécutables contrairement au bureau qui nécessite des signatures. Le porte-parole a également souligné que c'était la communauté de la sécurité qui avait découvert le problème. Pour éviter cette vulnérabilité, CertiK a exhorté les utilisateurs à désactiver la fonction de téléchargement automatique dans la configuration du bureau de leur application Telegram.
Les utilisateurs peuvent désactiver la fonction de téléchargement automatique en cliquant sur « Paramètres », puis en sélectionnant « Avancé ». Une fois l'option de téléchargement automatique des médias apparue, ils peuvent activer le bouton de désactivation sur tous les fichiers multimédias.
Réponse et mesures pour remédier aux vulnérabilités
Telegram est une application de messagerie qui connaît un certain succès depuis son lancement. L'application crypto-friendly permet aux utilisateurs d'échanger des messages, des images, des vidéos et des actifs numériques comme Bitcoin et Toncoin. Il permet aux utilisateurs d'effectuer ces activités liées à la cryptographie grâce à l'utilisation de son portefeuille de conservation appelé Wallet. La plate-forme dispose d'un portefeuille de garde pour aider les débutants en cryptographie qui sont encore verts en matière d'auto-garde.
Telegram a rapidement répondu à la mise à jour sur X, notant que ladite vulnérabilité est inexistante. « Nous ne pouvons pas confirmer qu’une telle vulnérabilité existe. Cette vidéo est probablement un canular », a déclaré l’application de messagerie.
Nous ne pouvons pas confirmer qu'une telle vulnérabilité existe. Cette vidéo est probablement un canular. N'importe qui peut signaler des vulnérabilités potentielles dans nos applications et obtenir des récompenses : https://t.co/UkzPFSVigy
– Telegram Messenger (@telegram) 9 avril 2024
Ce n’est cependant pas la première fois qu’une vulnérabilité est signalée sur la plateforme. En 2023, l'ingénieur Google Dan Reva a découvert un bug qui pourrait aider les pirates informatiques à activer les caméras et le microphone sur les ordinateurs portables macOS.
Telegram a également travaillé sans relâche pour découvrir et corriger les vulnérabilités de sa plateforme. L'application de messagerie dispose d'un programme de bug bounty qui fonctionne depuis 2014, offrant aux chercheurs et aux développeurs la possibilité de gagner des récompenses allant jusqu'à 100 000 $ pour la découverte de problèmes sur l'application. De plus, l’application a exhorté toute personne découvrant des problèmes sur l’application à les signaler. "N'importe qui peut signaler des vulnérabilités potentielles dans nos applications et obtenir une récompense", a déclaré Telegram.