Rocket Kitten Hackers met 15 millions d'utilisateurs de télégrammes en danger

Une application de messagerie cryptée utilisée par 100 millions de personnes a été compromise.

Les chercheurs affirment qu'un groupe de piratage appelé Rocket Kitten a appris les numéros de téléphone de 15 millions d'utilisateurs de Telegram et a, dans certains cas, utilisé le service dépendant du SMS pour obtenir un accès total à ces comptes "sécurisés".

C’est la première fois qu’un «anonymat et classification systématiques des personnes qui utilisent des outils de cryptage (du moins du genre) pour tout un pays» a été révélé, déclare Claudio Guarnieri, technologue d’Amnesty International, qui a découvert le piratage avec le chercheur indépendant Collin. Anderson, a dit Reuters.

Comment ça a fonctionné:

On dit que le piratage a fonctionné en interceptant des messages texte pendant leur transit et en les utilisant ensuite pour ajouter un appareil contrôlé par un pirate informatique au compte. Cela permettrait au pirate informatique de lire les communications cryptées qui auraient été presque impossibles à transiger avec la force brute.

Plus que juste ISIS:

Telegram est non seulement un outil de communication privilégié pour ISIS, mais il est également apprécié des activistes, des journalistes et de 20 millions de personnes qui souhaitent échapper aux programmes de surveillance du gouvernement iranien.

La même technologie que WhatsApp:

Telegram n'est pas la seule application qui utilise SMS pour l'authentification. Signal, une application de communication cryptée très répandue, utilise également des messages texte pour vérifier les comptes. Il en va de même pour l’outil de messagerie WhatsApp de Facebook.

Il serait trivial pour les agences de renseignement d’intercepter ces messages pour accéder à des outils autrement sécurisés, grâce aux précédents outils permettant à la NSA et au GCHQ de Grande-Bretagne de décrypter en secret les appels téléphoniques et les SMS de nombreux propriétaires de téléphones portables.

De nombreux services, d'Amazon à Twitter, utilisent des messages texte pour aider les internautes à sécuriser leurs comptes. La différence est que ces services utilisent des messages texte en tant que deuxième facteur d'authentification utilisé conjointement avec un nom d'utilisateur et un mot de passe, et non comme mécanisme de connexion principal. Ceci est plus sécurisé qu'un système à facteur unique.

Telegram permet à ses utilisateurs de définir des mots de passe pour leurs comptes mais ne les oblige pas à le faire. Pour accéder à la plupart des comptes, il suffit de connaître le numéro de téléphone de Rocket Kitten et d’intercepter les SMS, ce qui pourrait être facilité par les liens du groupe de pirates informatiques avec le gouvernement iranien.

Certains outils peuvent éviter ce problème. Lorsque le chiffrement de bout en bout est déployé pour Facebook Messenger, par exemple, il n'enverra que des messages chiffrés à un seul appareil au lieu de les rendre disponibles sur plusieurs plates-formes.

Mais cette restriction ne s’applique pas à tous les outils de communication chiffrés. Bien que l’utilisation de ces applications reste intelligente, c’est un bon rappel que le cryptage n’est pas la même chose qu’être totalement sécurisé.

Guarnieri et Anderson prévoient de discuter plus en détail du piratage à Def Con 24 le 4 août.