Telegram, bientôt des appels vidéo sécurisés

Sabrina Fekih |

Après Facebook et ses Messenger Rooms c'est au tour de Telegram de miser sur les appels vidéo. La messagerie a annoncé son intention d'introduire une fonctionnalité d'appel vidéo sécurisé pour tous ses utilisateurs.

Dans une note qui célèbre les 400 millions d'utilisateurs de l'application, le fondateur de Telegram, Pavel Durov est revenu sur l'importance de communiquer en toute sécurité en cette période de pandémie.

Après les multiples failles qui ont accompagné la hausse de fréquentation des applications de visioconférence, Telegram va mettre les bouchées doubles sur la sécurité. Le service de messagerie annonce son intention de fournir « des appels vidéo de groupe sécurisés en 2020. »

Pour l'heure, pas de date précise de lancement, mais la société compte bien battre le fer tant qu'il est encore chaud. Telegram annonce également la mise en place d'outils en ligne pour les « 2 milliards d'étudiants actuellement en dehors des salles de classe. »

Image : Telegram

Autre nouveauté, les utilisateurs de Telegram sur macOS peuvent désormais accéder aux photos et vidéos partagées directement depuis les pages de profil, qui seront mis à jour. Le service s'est aussi doté d'une barre latérale pour un accès simplifié et d'un éditeur qui permet de modifier et d'annoter des photos directement depuis l'application.


avatar Tahoooe | 

Top ! Ça devrait ramener du monde. Ça fait 3 ans que j’utilise Telegram au quotidien en tant que messagerie principale, et c’est d’un plaisir. J’ai réussi à faire switcher la majorité de mes amis et ma famille.

Les apps iOS et macOS sont parfaites, y a des nouvelles features tout le temps et ça marche vraiment bien. Ça parait un peu trop beau pour être vrai, mais le service est objectivement mieux qu’iMessage sans avoir le fil à la patte d’Apple.

avatar LaJague | 

C’est pas telegram qui était montré du doigt car fait pas des russes qui avaient une vision de la vie privée pas si privée que ça ?
En ´ultra ´ secure je connais Signal mais pour moi telegram est du même nv que messenger et WhatsApp

avatar Ricobtz | 

@LaJague

Pareil. Je suis passé sur Signal. Pas de Telegram sur mon portable.

avatar TiTwo102 | 

Telegram a été fait par un russe effectivement. Mais qui est depuis exilé car sa vision de la vie privée n'était pas du gout de la Russie, justement.

Après, il est clair que rien ne permet de vérifier ce que fait Telegram de nos données. Il faut faire « confiance ». Comme c’est malheureusement souvent le cas en informatique.

Pour ma part, hors confidentialité, je trouve que c’est de loin la meilleure app de messagerie.
Côté vie privée, je peux pas dire que je les crois à 100%, mais l’histoire semble tenir la route. Plusieurs gouvernements dans le monde l’utilisent et semblent donc y croire aussi, à commencer par le notre. Et en voyant le nombre de régimes non démocratiques qui tentent de se débarrasser de cette messagerie, on peut se dire que c’est pas tant une passoire que ça (contrairement à des WhatsApp ou des Messengers, dont ces mêmes pays ne se sont bizarrement jamais plains).

avatar LaJague | 

@TiTwo102

Ouais enfin je viens de regarder et pas mal d’articles récents (2019) confirment que c’est tjrs pas tip top

avatar Krysten2001 | 

@LaJague

Il suffit de lire le FAQ où il disent que toutes les conversations, si je ne m’abuse, ne sont pas sur le même serveur pour éviter les gouverner et en plus il y a le chiffrement de bout en bout ;)

avatar TiTwo102 | 

Se sont les différentes parties des clefs de chiffrement des serveurs qui sont reparties dans le monde, sous différentes juridictions, afin d’éviter qu’une demande d’un pays puisse aboutir à quoi que ce soit.

En tout cas c’est ce qu’ils disent.

avatar Krysten2001 | 

@TiTwo102

Il y a toujours une part de confiance à avoir :) j’ai lu leur FAQ et des avis. J’ai aussi mit le chiffrement de bout en bout donc c’est sur aucun serveur :) quand j’ai lu la politique de Signal, il y a des choses qui me chagriner, faut que je relise pour savoir quoi. Même les terroristes étaient ou sont encore dessus 🤔

avatar TiTwo102 | 

Des articles sur cette messagerie, y’en a 10 par jour, ça doit faire vendre de la pub. Des articles de qualité et fouillés par contre...

Mais je suis d’accord, si on est vraiment à cheval sur la confidentialité, Signal est mieux. Je ne l’utilise pas parce qu’il manque une vraie fonctionnalité multiplateforme. Chose indispensable dans une app de messagerie.

avatar spockyss | 

@TiTwo102

Signal tourne sur IOS, Androïd, MacOS, Windows, Linux.

Que voulez-vous dire par « n’est pas multi-plateforme » ?

avatar TiTwo102 | 

Je parlais plus de l'avoir sur plusieurs plateforme avec un même compte et de la méthode utilisée. Par exemple sur iPad quand on est sur iPhone. La dernière fois que j’avais regardé ça fonctionnait avec le même principe que WhatsApp (validation par QR code, tel à proximité). C’est pas des plus pratique et c’est pas ce que j’appelle du « vrai » multiplateformes.

Autre problème, en cas de changement de téléphone, on perd toute l’historique.

C’est les limites du chiffrement de bout en bout (que propose aussi Telegram d’ailleurs).

avatar MacGruber | 

Ahhhhh !

avatar spockyss | 

Mieux vaut utiliser Signal et de convaincre vos contacts d’y passer : ça marche !

avatar Ricobtz | 

@spockyss

Faut expliquer et démontrer mais oui ça marche. Et éviter Telegram en effet

avatar Krysten2001 | 

@Ricobtz

Pourquoi éviter telegram ?

avatar armandgz123 | 

@Krysten2001

Non, Telegram c’est top

avatar spockyss | 

Et pour les détails techniques sur les comparaisons entre les messageries, regardez ce document de l’ANSSI :

https://www.ssi.gouv.fr/uploads/2017/10/chiffrement_messagerie_instantanee_fmaury_anssi.pdf

avatar titi17 | 

L’application Telegram est open source

https://github.com/TelegramMessenger/Telegram-iOS

avatar Akeru60 | 

Oui mais pas les serveurs

avatar byte_order | 

@Akeru60

Si vous n'avez pas accès aux serveurs, de toute façon, il est très difficile de vérifier que les serveurs que votre app cliente utilise font bien tourner le code open source du serveur et non pas une version modifiée.

Et en général, les utilisateurs ont plus accès au terminal qu'aux serveurs, hein.
Vous pouvez installer un client alternatif, basé purement sur le code open source ou n'utilisant que le protocole open source, vous ne pouvez pas changer ce qui tourne sur les serveurs.

Pour ça, faut pouvoir contrôler les serveurs. Donc avoir ses propres serveurs.
C'est le choix fait par l'état français pour Tchap, qui réutilise le protocole de Signal, mais dont l'état à le contrôle total sur le client comme les serveurs.

Pas dispo pour le grand public, mais même s'il l'était, se poserait alors la même question : moi, utilisateur lambda, comment je fais confiance à ce que font vraiment les serveurs de Tchap contrôlés par l'Etat.

Y'a *toujours* une part de confiance à accorder quand on ne contrôle pas tout de A à Z.

avatar Xap | 

J’ai vu que Threema allait aussi proposer les appels audio mais c’est encore en bêta.

Bon tout le monde s’en fout vu que personne l’utilise par ici 😅 mais c’est bien dommage (UI au top & privacy au top).

avatar LaJague | 

A priori le prb majeur est que l’algorithme est une version ´mais on’ et c’est le principal problème.

Et non ce n’est pas utilisé par le gouvernement de manière officielle en tout cas je crois

avatar TiTwo102 | 

Évidemment que ce n’est pas de manière officielle... Mais la liste des gouvernements indiquant (plus ou moins volontairement) qu’ils ont des groupes Telegram pour discuter est longue comme le bras.

À tort ou a raison d’ailleurs. Ça j’en sais rien.

avatar armandgz123 | 

Enfin !!!!

avatar lulubotine | 

Admettons Signal serait supérieur

Il y a des agents secrets ici ?

Pour ma part je préfére l’interface de Telegram et ses petites fonctions de personnalisation..m

avatar Ricobtz | 

Instagram est juste au-dessus de WhatsApp. Ça peut suffire. Effectivement Threema, Signal... sont les rares à ne pas enregistrer de metadonnéese et sont plus sécurisés mais moins tendances.
Du moment que les gens sont satisfaits, après tout...

avatar hercut | 

Je t’envoie encore sur https://www.privacytools.io/software/real-time-communication/
Plutôt qu’un grand discourt sur la confidentialité et les logiciels ...

Bref telegram est a éviter. Il y a aussi jitsi comme alternative en plus de signal.

avatar Krysten2001 | 

@hercut

Pourquoi éviter telegram ?

avatar LaJague | 

@Krysten2001

Parce que c’est un peu mieux que WhatsApp mais pas au niveau de Signal, sur le côté secure ne semble pas véritable

avatar Krysten2001 | 

@LaJague

Je pense que si car c’est bannie en Russie et « To protect the data that is not covered by end-to-end encryption, Telegram uses a distributed infrastructure. Cloud chat data is stored in multiple data centers around the globe that are controlled by different legal entities spread across different jurisdictions. The relevant decryption keys are split into parts and are never kept in the same place as the data they protect. As a result, several court orders from different jurisdictions are required to force us to give up any data. » si on ne met pas le chiffrement de bout en bout. Selon moi c’est kif kif les deux

avatar hercut | 

@Krysten2001

Tu as regardé mon lien ? C’est expliqué dans le site ...

avatar Krysten2001 | 

@hercut

Ben telegram à le chiffrement de bout en bout donc quel est le problème ?

avatar LaJague | 

@Krysten2001

Le prb semble être le chiffrement « maison » justement qui ne reposerait sur aucun standard

avatar TiTwo102 | 

Effectivement.

Ils expliquent clairement pourquoi ils n’ont pas utilisé le protocole habituel dans leur FAQ. Ce protocole est en revanche open source.

Au final, tous les articles à charge sur telegram disent toujours la même chose : c’est pas end-to-end par défaut, des metadata sont collectés.

Le premier point est clairement expliqué dès le début et la raison est logique (perso c’est d’ailleurs les possibilités qu’offre ce choix qui m’ont fait utiliser telegram plutôt que signal). Est également expliqué comment la sécurité est assurée malgré ça.
Le 2eme point est également clairement expliqué et peut être mis sur off dans les réglages.

Telegram a fait le choix de se passer du end-to-end par defaut pour offrir une meilleure expérience, tout en mettant le paquet pour conserver le sécurité des donnés. Le plus important est qu’ils ne s’en cachent pas. Loin de là.

A part ces trucs (qui sont expliqué sur le site même de telegram, pas besoin d’article de pseudos spécialistes pour l’apprendre) il n’y a jamais eu de découverte de faille ou de tromperies. Et quand on voit dernièrement avec Zoom à quel point ces failles sont scrutées, c’est plutôt bon signe jusque là. On verra dans le futur, en espérant que ça reste comme ça.

Le mieux serait que Signal ou d’autres arrivent à faire suffisamment de progrès pour concilier la sécurité maximum sans sacrifier le côté pratique. Le problème c’est que ça ne semble pas pour demain...

avatar byte_order | 

@TiTwo102

Je partage ce point de vue également.
Les alternatives plus sûr encore s'en trouvent plus limitées dans les fonctionnalités proposées.
Sans oublier qu'elles restent encore très souvent limité au seul échange de messages textuels.

Après, j'avoue me demander régulièrement comment Telegram Group Inc se finance.
Il semble que pour l'instant, à l'instar de pas mal de réseaux sociaux, cela se fasse par des appels à l'investissement, alors qu'aucun revenu n'est pour l'instant généré.

Au final, dès lors qu'on utilise une messagerie impliquant l'usage de serveurs sur lequels vous n'avez pas le moyen de contrôler ce qu'ils font vraiment, cela reste basé principalement sur la confiance. Que ce soit iMessages, Whatsapp, Messenger, Telegram ou même Signal, rien ne vous permet d'être sûr de ce qui se passe côté serveurs.

Reste alors, à minima, le fait que dans le lot, seul Telegram et Signal repose sur un protocole ouvert, que chacun peut vérifier, y compris en proposant des clients alternatifs à ceux "officiels", ce qui permet, à minima, de vérifier quelles données sont envoyés par les apps clientes de ces systèmes de messageries.

Plus y'aura de gens à utiliser Telegram, plus il sera scruté, et mieux cela sera pour se rassurer sur l'inévitable question de la confiance accordée en aveugle ou pas.
Mais, au moins, côté client, c'est pas une question de confiance, c'est transparent.

Pour info, pas mal d'états assez intruisifs bloquent (ou tentent de bloquer) Telegram, qui d'ailleurs fait pas mal d'effort pour rendre cela assez compliqué à réussir.
Si y'avait des backdoors, ces états s'embêteraient pas ainsi.

Par ailleurs, Pavel Durov, je pense, garde une amère expérience du contrôle par un état, lui qui a été contraint, par le gouvernement russe, de vendre ses parts dans le réseau social russe qu'il avait créé, VK, à un oligarche propriétaire d'un opérateur télécom russe.

Mais cela reste une question de confiance, en effet.

avatar byte_order | 

@LaJague
> Le prb semble être le chiffrement « maison » justement qui ne reposerait sur aucun standard

Qu'il ne soit pas standard pose uniquement le problème qu'il a fait l'objet de vérification moindre par la communauté des spécialistes en chiffrement.
Mais il est documenté, et pour cause, le protocole, chiffrement inclus, est open source, ainsi que les apps clients, officielles comme celles développés par d'autres personnes sur la base de cette documentation publique.

L'implémentation technique faite par Apple dans l'enclave sécurisée n'est pas publique, on ignore comment elle fonctionne, et pourtant beaucoup ici la considère comme plus "sûre", alors que les spécialistes du chiffrement n'ont même pas la possibilité de vérifier librement l'affirmation d'Apple la concernant...

avatar hercut | 

@Krysten2001

https://securechatguide.org/centralizedapps.html#telegram

Le chiffrement de bout en bout n’est pas la seul chose qui fait que ton logiciel est bon ou pas. Rien n’empêche le le client d’envoyer la clef au serveur, qui ici est propriétaire et pas open source.
Certaine personne te dise d’éviter d’utiliser se soft pour divers raisons. Tu fais ce que tu veux après :)
Mais rien ne t’empêche de faire un tour sur le net pour comprendre exactement pourquoi :)

https://www.securemessagingapps.com

avatar Krysten2001 | 

@hercut

Ok mais le chiffrement de bout en bout c’est rien sur les serveurs et comme ce que dit Titwo102

avatar Sometime | 

Un des gros problème - c’est un avis - de Threema ou de Telegram, reste la part de l’open source.

avatar supermars | 

Je rêve d’un iMessage et FaceTime multiplateforme. C’est vraiment LE truc qui manque.

avatar hercut | 

En parlant de ça télégram a été interdit d’utilisation dans les gendarmeries comme WhatsApp.

Ils ont demandé l’utilisation de signal ...

avatar byte_order | 

@hercut

Pas Signal, mais Tchap, une infrastructure sécurisée construite par l'état sur les technos de Signal, ce qui lui (re)donne sa souveraineté sur sa messagerie.

Mais *avant* que ce réseau souverain soit mis en place, ce même état *recommandait* d'utiliser Telegram plutôt que WhatsApp, iMessages, GroupMe et autres. Il n'était pas interdit *comme* les autres, mais même s'il ne répond pas à l'exigence de souveraineté (donc du contrôle des serveurs également), il semblaient moins pire que les autres car les clients et le protocole étaient open source, à défaut des serveurs de l'être.
C'était déjà moins pire que les autres.

avatar hercut | 

@byte_order

Oui et non justement tchap est pas bien optimisé donc ils acceptent signale comme alternative :)

avatar spockyss | 

Au delà de la confidentialité des échanges, ce qui me semble positif chez Signal, c’est qu’elle me semble être la solution qui minimise le plus les métadonnées qui sont conservées. Même les numéros de téléphone de mes contacts ne sont pas conservés (contrairement à Telegram, sauf erreur).

Il est vrai que l’option prise par Signal d’une sécurité maximum se fait parfois au détriment de la facilité d’utilisation mais ce sont des choix assumés.

Ainsi, on perd ses messages si on change de téléphone (sur iPhone) : c’est la contrepartie de ne pas avoir de copie des messages sur leurs serveurs et d’avoir un chiffrement des données propre à chaque téléphone.

avatar jeromewebnet | 

de toutes façon avec la faille ss7 au une de vos appli sert a quelque chose n importe quelle telephone peut etre mis en copie !

CONNEXION UTILISATEUR