La technologie Telegram promise dans l'ICO est vulnérable aux attaques, selon les chercheurs

Avec 1,7 milliard de dollars en banque après son offre initiale de pièces de monnaie (ICO), Telegram a publié sa première fonctionnalité compatible avec la cryptographie – mais les chercheurs en sécurité sont sceptiques.

Comme l'explique un article de blog publié aujourd'hui, Virgil Security, une startup américaine, a identifié plusieurs faiblesses dans sa nouvelle application de vérification d'identité, Passport. Si l'entreprise a félicité Telegram pour avoir publié l'API de l'application en open source, permettant ainsi la vérification du code par d'autres experts, Virgil Security a néanmoins détaillé deux problèmes liés à l'application : le chiffrement des données et la protection des données stockées.

« Leur engagement en faveur de l'ouverture donne aux praticiens de la sécurité la possibilité d'examiner leur mise en œuvre et, idéalement, de contribuer à l'améliorer », a écrit Alexey Ermishkin de Virgil Security surle blog de l'entreprise, ajoutant :

« Malheureusement, la sécurité du passeport déçoit à plusieurs égards. »

Telegram n'a jamais annoncé ni vérifié publiquement l'existence de son ICO d'un milliard de dollars. Mais avec la fuite de documents en début d'année, il est devenu évident que l'entreprise, plus connue pour son application de chat, cherchait à concurrencer de nombreux services – du partage de fichiers à la navigation cryptée – déjà proposés par les startups Crypto .

De plus, elle souhaitait apporter des paiements basés sur la blockchain à l'application de chat Telegram, qui est devenue populaire ces dernières années au sein de la communauté Crypto .

Les paiements et la vérification d'identité vont de pair, ce qui fait de Passport une offre initiale naturelle pour l'entreprise. De plus, perturber les acteurs historiques de ID numérique comme Equifax, qui KEEP les données dans des bases de données centralisées vulnérables aux violations et aux abus, est depuis longtemps un objectif partagé par la communauté des Cryptomonnaie . C'est donc un point de départ idéal pour Telegram.

Dans son article de blogÀ propos du nouveau produit, Telegram promet que « vos documents d'identité et vos données personnelles seront stockés dans le cloud Telegram à l'aide d'un cryptage de bout en bout. Ils sont chiffrés avec un mot de passe que vous seul connaissez, de sorte que Telegram n'a pas accès aux données que vous stockez dans votre passeport Telegram. »

Il poursuit en promettant qu'à terme, ces données seront stockées de manière décentralisée. L'identité était ONEun des composants de l'ambitieux système basé sur la blockchain que Telegram avait promis. dans son livre blanc technique ICO.

Mais d' LOOKS les conclusions de Virgil Security, Telegram doit retourner à la planche à dessin.

Force brute

La principale critique de Virgil Security concernant la sécurité de Passport concerne la manière dont il crypte ses mots de passe.

En annonçant Passport,Télégramme publiéUne quantité considérable d'informations sur le fonctionnement du système. Virgil Security met notamment l'accent sur l'utilisation de SHA-512 pour le hachage des mots de passe par Telegram.

« Nous sommes en 2018 et un GPU de haut niveau peut vérifier par force brute environ 1,5 milliard de hachages SHA-512par seconde", écrivent-ils.

L'étude estime ensuite qu'avec suffisamment d'ordinateurs, ces mots de passe pourraient être déchiffrés pour un montant compris entre 135 et 5 dollars chacun, en fonction de la force des mots de passe choisis par les utilisateurs.

Cependant, avant qu'un attaquant puisse lancer son attaque, il devrait d'abord pénétrer dans Telegram lui-même, comme le reconnaît Virgil.

« Pour accéder aux hachages de mots de passe, l'attaque devrait être interne à Telegram. Les possibilités sont nombreuses : menace interne, spearphishing, ONE USB malveillante, ETC», a déclaré Dmitry Dain, cofondateur de Virgil Security, à CoinDesk.

Et si de nombreux utilisateurs commencent à utiliser et à charger à leur tour ces données dans le passeport de Telegram, cela fera de l'entreprise une cible très attractive.

Telegram a longtemps été critiqué pour avoir prissa propre approche de la cryptographie, plutôt que de s'appuyer sur des normes établies. Cela dit, le modèle de Telegram n'a pas encore été mis en défaut.

Données non signées

L'autre danger pour les utilisateurs critiqué par Virgil Security est un BIT plus nuancé : le fait que les données téléchargées sur Passport ne sont T signées.

En signant les données de manière cryptographique (une partie intégrante de l'architecture blockchain au sens large), les utilisateurs peuvent rapidement vérifier que les données ont été chargées par la personne qui prétend les avoir chargées et qu'elles n'ont T été modifiées.

Sans signature cryptographique, un attaquant pourrait modifier une partie des données sans que ONE ne le sache.

Le post de Virgil Security soutient :

« Aujourd'hui, lorsque les gens voient le chiffrement de bout en bout, ils pensent que leurs données seront transmises en toute sécurité à un tiers sans craindre qu'elles soient déchiffrées ou falsifiées. Malheureusement, les utilisateurs de Passport auront un faux sentiment de confiance. »

Pourtant, avec les critiques de Virgil Security et la nouveauté du produit, il devrait être relativement simple pour Telegram de renforcer sa sécurité (Virgil Security est un fournisseur de cryptage de bout en bout).

Telegram n'a pas immédiatement répondu à une Request de commentaire.

Serrure casséeimage via ShutterStock