La messagerie Telegram, qui propose des conversations chiffrées de bout en bout, est victime d’une faille. Selon un chercheur en cybersécurité, il existe un moyen assez facile de connaître la position exacte d’un utilisateur, rapporte Ars Technica relayé par 01net.

Cette vulnérabilité n’est possible que si l’utilisateur a activé la fonction « Personnes à proximité » (« People Nearby »). Celle-ci permet de voir quels utilisateurs de Telegram se trouvent autour de soi. Mais sous certaines conditions, il est possible d’avoir la position précise d’un utilisateur.

La technique de la triangulation

Sur son blog, le chercheur Ahmed Hassan précise qu’il existe trois méthodes pour y parvenir mais n’en détaille qu’une seule. Elle consiste à utiliser l’appli GPS Spoof sur un smartphone Android rooté. Cette application permet de falsifier ses coordonnées GPS. En changeant trois fois d’emplacement, le hacker peut alors déterminer la position de l’utilisateur ciblé grâce à la triangulation.

Telegram a été averti fin décembre par le chercheur. L’entreprise n’a répondu qu’une quinzaine de jours plus tard sans exprimer de surprise ou d’inquiétude. « Les utilisateurs partagent intentionnellement leur position, et cette fonctionnalité est désactivée par défaut. On s’attend à ce que la détermination de l’emplacement exact soit possible sous certaines conditions ».

La découverte du chercheur n’est donc pas couverte par le programme de bug bounty de Telegram, qui récompense ceux qui identifient des bugs et failles dans les programmes. Les utilisateurs sous Android seraient davantage exposés : l’application donne une localisation plus précise que sous iOS, précise Ars Technica. Le mieux reste donc de laisser cette fonctionnalité désactivée.