Telegram est-il vraiment chiffré ? Un examen approfondi de son protocole.

Telegram est devenu extrêmement populaire, en particulier parmi les utilisateurs qui accordent de l’importance à la confidentialité et à la sécurité. L’application se présente comme un messager sécurisé, mais qu’est-ce que cela signifie réellement ? Telegram est-il vraiment chiffré, et si oui, à quel point est-il sécurisé ? Cet article explore ces questions en s’appuyant sur l’expertise de Matthew Green, expert en cryptographie et professeur renommé à l’Université Johns Hopkins.

Comprendre le chiffrement dans les applications de messagerie

Avant d’aborder le chiffrement de Telegram, il est important de comprendre ce que signifie le chiffrement dans le contexte des applications de messagerie. Les services modernes de messagerie privée utilisent souvent le chiffrement de bout en bout (E2EE), qui garantit que seuls l’expéditeur et le destinataire peuvent lire les messages. Même le fournisseur de service (dans ce cas, Telegram) ne peut pas déchiffrer ces messages car il ne détient pas les clés de déchiffrement. Ce niveau de chiffrement est considéré comme la référence en matière de confidentialité et de sécurité dans les communications.

L’approche de Telegram en matière de chiffrement

Telegram utilise un protocole de chiffrement personnalisé appelé MTProto. Selon Telegram, ce protocole est conçu pour sécuriser la communication entre les clients (utilisateurs) et les serveurs. Cependant, c’est là que les choses commencent à se compliquer.

Telegram n’utilise pas le chiffrement de bout en bout par défaut pour tous les messages. À la place, il s’appuie sur un chiffrement serveur-client pour ses discussions standard. Cela signifie que, bien que les messages soient chiffrés entre votre appareil et les serveurs de Telegram, Telegram a toujours la capacité de les déchiffrer et de les lire. Cette approche est fondamentalement différente du chiffrement de bout en bout plus sécurisé utilisé par d’autres applications de messagerie comme Signal et WhatsApp, où même le fournisseur de service ne peut pas lire les messages.

Si vous souhaitez un véritable chiffrement de bout en bout sur Telegram, vous devez activer manuellement une fonctionnalité appelée Chats Secrets. Cette fonctionnalité est uniquement disponible pour les conversations en tête-à-tête, pas pour les discussions de groupe. Comme le souligne Matthew Green dans son analyse, c’est un inconvénient majeur : « L’impact pratique est que la grande majorité des conversations Telegram en tête-à-tête — et littéralement tous les chats de groupe — sont probablement visibles sur les serveurs de Telegram. »

Les défis des Chats Secrets de Telegram

Même si vous choisissez d’utiliser les Chats Secrets, il existe des limitations. Tout d’abord, les Chats Secrets sont spécifiques à un appareil, ce qui signifie que si vous commencez un Chat Secret sur votre téléphone, vous ne pouvez pas le poursuivre sur votre tablette ou votre ordinateur. De plus, le processus pour activer un Chat Secret n’est pas simple. Il nécessite plusieurs étapes, ce qui peut décourager les utilisateurs moins technophiles d’activer cette fonctionnalité.

Comme le note Green, « Activer le chiffrement de bout en bout sur Telegram est étrangement difficile à réaliser pour les utilisateurs non experts. » Cette complexité contraste fortement avec des applications comme Signal, où le chiffrement de bout en bout est toujours activé et ne nécessite aucune configuration particulière.

La sécurité du protocole MTProto de Telegram

Le protocole MTProto personnalisé de Telegram a été soumis à l’examen des cryptographes. Le protocole utilise un échange de clés Diffie-Hellman de 2048 bits, une méthode qui permet à deux parties d’établir une clé secrète partagée via un canal non sécurisé. Bien que cela semble sécurisé, Green et d’autres experts ont soulevé des inquiétudes concernant les détails de l’implémentation. Par exemple, le protocole repose sur le serveur pour choisir certains paramètres cryptographiques, ce qui introduit des vulnérabilités potentielles si le serveur est compromis.

De plus, MTProto utilise un mode de chiffrement unique appelé Infinite Garble Extension (IGE), qui n’est pas largement adopté dans la communauté cryptographique. Ce choix de mode de chiffrement a suscité des interrogations parmi les experts, qui préfèrent généralement des approches plus standard et rigoureusement vérifiées.

Pour citer Green : « Chaque