Le 9 avril, un risque de sécurité important pour les utilisateurs de Telegram a été souligné par la société de sécurité blockchain CertiK, révélant une vulnérabilité pouvant conduire à des attaques malveillantes via la version de bureau de l'application de messagerie.
CertiK, via une alerte sur X (anciennement Twitter), a révélé une « vulnérabilité à haut risque dans la nature » qui pourrait permettre aux pirates informatiques d'exécuter des attaques d'exécution de code à distance (RCE) via le traitement multimédia de Telegram.
Cette vulnérabilité, trouvée spécifiquement dans l'application Telegram Desktop, rend les utilisateurs vulnérables aux attaques via des fichiers multimédias spécialement conçus, comme des images ou des vidéos.
Les découvertes de CertiK ont suscité des inquiétudes, les incitant à conseiller aux utilisateurs de modifier leurs paramètres Telegram Desktop pour empêcher les téléchargements automatiques de fichiers multimédias.
Cette précaution consiste à désactiver le téléchargement automatique des « Photos », « Vidéos » et « Fichiers » dans les paramètres de l'application, notamment dans la section « Téléchargement automatique des médias » pour tous les types de discussions.
Malgré ces affirmations, un porte-parole de Telegram a nié avoir reconnu une telle vulnérabilité au sein des clients Telegram.
La révélation de cette vulnérabilité a attiré l'attention sur les défis de sécurité persistants auxquels Telegram est confronté, en particulier compte tenu de sa popularité dans la communauté des crypto-monnaies pour ses fonctionnalités prenant en charge la communication, le partage de fichiers et les transactions de crypto-monnaie via son service Wallet.
Ce service opte notamment pour une approche de conservation de la gestion des actifs des utilisateurs, différente de la méthode conventionnelle où les utilisateurs contrôlent leurs clés privées.
Ce n’est pas la première fois que Telegram est sous le feu des projecteurs pour des failles de sécurité.
LIRE LA SUITE : La circulation du stablecoin PayPal USD chute de 39 % en mars au milieu du rallye du marché de la cryptographie
Les exemples précédents incluent la découverte en 2023 par un ingénieur de Google d'un bug dans la version macOS de l'application qui pourrait permettre un accès non autorisé à la caméra et au microphone d'un appareil, et un incident identifié en 2021 par un chercheur de Shielder impliquant des autocollants animés modifiés qui pourraient compromettre les données des utilisateurs. .
La réponse de Telegram à ces vulnérabilités a été proactive, avec le programme de bug bounty de la plateforme, lancé en 2014, invitant les développeurs et les chercheurs en sécurité à signaler des problèmes de sécurité potentiels en échange de récompenses financières.
Le programme vise à répondre et à atténuer les problèmes de sécurité en tirant parti de l’expertise de la communauté de la sécurité au sens large.
Cependant, malgré les efforts de Telegram pour sécuriser sa plateforme et le scepticisme quant à l’existence de la vulnérabilité actuelle, le dialogue entre les experts en sécurité et Telegram se poursuit, soulignant le paysage complexe de la sécurité numérique et le besoin constant de vigilance.
Pour soumettre un communiqué de presse (PR) cryptographique, envoyez un e-mail à sales@cryptointelligence.co.uk.