Telegram Messenger, le WhatsApp sécurisé

Telegram Messenger

Cette semaine, l’hécatombe s’est produite pour de nombreuses personnes dans ma situation: WhatsApp, logiciel plutôt populaire mais très controversé quant à sa confidentialité (puisque hébergé aux Etats-Unis) a été racheté par l’entreprise au « F » blanc sur fond bleu. Si comme moi vous n’appréciez pas beaucoup ce logiciel à la base, mais qu’en plus vous êtes allergique à cette énorme machine de guerre sociale et que vous êtes « obligé » d’utiliser cette messagerie mobile pour ne pas vous faire larguer par vos « amis », vous avez probablement dû vous sentir tout bizarre. C’est d’ailleurs ce qu’ont dû ressentir les millions d’utilisateurs d’Instagram avant d’être rachetés aussi… bref.

Du coup, cette raison particulière me donne l’opportunité de dire « stop, je m’en vais d’ici parce que j’ai une bonne raison ». Oui, mais voilà, pour aller où exactement ? Et bien j’ai par hasard trouvé une réponse à cette question cette semaine ! Mise à part passer par un serveur XMPP personnel (ou faire confiance à un serveur qui ne risque pas d’être compromis), il y a maintenant Telegram.

Un clone sécurisé

Telegram est une sorte de clone revu et corrigé de WhatsApp qui, bien qu’il n’ait pas encore tout de son grand frère, a déjà de bons principes dans le ventre. A vrai dire, j’ai été plutôt charmé par les possibilités et les idées qui sont derrière ce logiciel que je vous invite à aller décortiquer un peu dans votre coin pour vous faire votre propre idée.

Il est basé sur le cloud, entendez par-là que vos messages sont stockés sur un serveur pour être délivrés plus tard si votre correspondant n’est pas connecté en ce moment. C’est pratique, WhatsApp le fait aussi… là où ça change, c’est que Telegram chiffre vos messages avant de les recevoir (AES 256-bit, RSA 2048 et échange de clés Diffie-Hellman, du bon, a priori). C’est donc le client qui chiffre son message avec sa clé. En revanche, ce que je ne sais pas, c’est à quel moment est chiffrée l’information. Les gugus de leur service disent que c’est le client qui chiffre et que les messages sont ensuite temporairement stockés sur un serveur pour être délivrés. Soit, ça part plutôt d’une bonne intention. Il ne reste pas moins qu’il ne reste pas très prudent de communiquer n’importe quoi via ce canal, on est d’accord.

Le gros plus à mon avis est la possibilité d’accéder aux messages via une API, donc via n’importe quel appareil, que ce soit un téléphone ou un ordinateur. Ceci, WhatsApp ne le fait pas, et c’est aussi un gros plus me concernant. Je suis largement plus à l’aise avec un clavier qu’avec mon téléphone portable. A ce sujet, sachez que l’API et le code des applications ainsi que leur protocole de transmission maison (j’y reviens tout de suite) sont open source, donc gros point positif.

Notez finalement que les gens prudents trouveront dans ce logiciel un peu de bonheur, puisque outre le mode « cloud » proposé par défaut, vous pouvez créer une session de messagerie en pair-à-pair, chiffrée et avec possibilité d’autodestruction automatique des messages après une durée de temps définie. Plutôt classe ! Le mode pair-à-pair (sans passer par un serveur, donc) est pour moi un énorme avantage à considérer.

Des choix parfois discutables, selon certains

Bien que je sois persuadé que Telegram est une bonne application et qu’elle a de beaux jours devant elle – du moins c’est ce que je lui souhaite – il n’en reste pas moins que certains points noirs viennent inévitablement obscurcir l’aspect alléchant du logiciel. Commençons par le protocole « fait maison », appelé MTProto. Je n’ai pas été personnellement vérifier les sources de la chose, mais le blog Unhandled Exception l’a fait, et il semblerait que – pour reprendre les grandes lignes du billet – ce soit très compliqué pour pas grand-chose, que ce soit fait par des mathématicien et non des cryptographes, et que certains choix soient très discutables. Soit, je ne doute pas que la sécurité du logiciel puisse être mieux implémentée (on peut toujours faire mieux en matière de sécurité) mais je pense qu’elle est « raisonnablement bien faite », à titre personnel. Comprenez que, selon moi, un tel logiciel ne doit pas servir à transporter des données extrêmement confidentielles et que même un niveau de chiffrement moyen peut être une sérieuse épine dans le pied des organismes peu respectueux de la vie privée.

Autre point discutable, qui concerne tous les services utilisant une forme de cloud, c’est qu’on ne sait jamais vraiment où sont nos données. Si la société derrière Telegram se situe physiquement en Allemagne, il n’en reste pas moins que les données que l’on leur confie peuvent transiter un peu n’importe où sur la planète sans qu’on puisse s’y opposer. Un petit datacenter en Suisse aurait été sympatique, bien sûr 😉

Et enfin, le dernier point pour moi est celui de la linguistique. Si cela ne me dérange pas d’utiliser l’application en anglais, cela rebutera peut-être certains utilisateurs novices et/ou pas très à l’aise avec cette langue. Telegram est – à l’heure où j’écris ces lignes – traduit en anglais, en arabe et en espagnol. Ils indiquent que des outils de traduction seront prochainement mis à disposition pour que l’on puisse aussi y avoir accès dans d’autres langues, mais ça ne doit pas nécessairement être leur priorité n°1 pour l’instant, j’imagine. Ils touchent tout de même un bassin de population important rien qu’avec ces trois langues !

Le verdict

Je dois dire que malgré certains points négatifs plutôt dérangeants, cette application me semble partir dans la bonne direction et offrir un niveau de sécurité déjà plutôt acceptable. Elle me plaît autant techniquement que visuellement et me semble être une excellente solution, aussi l’ais-je installée pour voir si je peux communiquer avec d’autres personnes avec de manière simple et efficace. D’autres logiciels sont attendus dans ce secteur, notamment Hemlis, développé par des gens de The Pirate Bay, des types plutôt bien et qui s’y connaissent en sécurité. Je pense que ce sera encore mieux que Telegram et surtout plus sécurisé, mais aura-t-on quand même le confort offert par WhatsApp ? Aucune idée pour l’instant, il faudra attendre encore un moment pour le découvrir.

Et en attendant, bien sûr, il y a Telegram pour ma part 😉

 

Source de l’image d’entête: site officiel de Telegram (voir lien en début d’article)


A propos de WebManiaK

Possédant un Bachelor en informatique de gestion, je suis actuellement employé comme développeur .NET (Java et PHP à mes heures perdues). Je me passionne pour les technologies informatiques et j'utilise donc des outils comme ce blog pour me tenir à jour des dernières nouveautés et publier des billets techniques sur des sujets peu évoqués sur le Web.

2 Replies to “Telegram Messenger, le WhatsApp sécurisé”

  1. Bonjour,

    Je suis actuellement étudiante en dernière année de journalisme à l’Université Catholique de Louvain-la-Neuve (Belgique). Dans le cadre de notre cours d’enquête, nous sommes amenés à mener une enquête sur les Privacy Leaks. Mon domaine d’investigation est l’application mobile, Telegram.

    Je suis à la recherche de personnes qui accepteraient répondre à mes questions concernant cette application. (explication de certains concepts, fonctionnement des applications, les failles de Telegram, où sont stockées les données, quelle fiabilité, le protocole (MTProto) qui n’est pas très abouti, la sécurité que prône l’application est-elle une réalité ou simplement du marketing, le côté légal de la question, etc.)

    Le sujet étant assez vaste et n’étant pas très connaisseuse en la matière, je ne sais pas trop vers qui me tourner. Si vous n’êtes pas à même de me répondre, pensez-vous à d’autres personnes/sociétés vers qui je pourrais m’orienter?

    Merci d’avance,

    Bien à vous,

    Debora Romeyns

    • Bonjour Debora et bienvenue sur ce blog.

      Je ne peux que t’encourager à réaliser ce genre d’enquêtes, c’est un sujet passionnant mais très vaste. Attention à ne pas t’y perdre.
      Telegram part sur une bonne idée, malheureusement leur protocole MTProto n’est pas mature. Je ne dis pas qu’il est insuffisamment sécurisé, je pense néanmoins qu’il existe de meilleures solutions sur le marché aujourd’hui, tel que Signal. MTProto doit surtout gagner en confiance, c’est là la clé. Un groupe d’auditeurs chevronnés doit avoir accès au code source et réaliser une étude indépendante avant que quiconque de censé puisse l’utiliser pour des besoins spécifiques qui requièrent une sécurité totale, comme le journalisme, d’ailleurs 🙂

      Si vous le souhaitez, on peut en discuter par email, même si je n’ai malheureusement pas de vue approfondie sur ce système. Le Web regorge d’informations, encore faut-il savoir les débusquer et les trier.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*