Le nouveau « Telegram Passport » serait vulnérable aux attaques par force brute
Telegram, dont l’ICO de début d’année avait fait beaucoup de bruit – avec ses 1,7 milliard de dollars levés uniquement avec de (très) gros investisseurs (aucune offre n’étant proposée aux petits investisseurs) – a publié le 26 juillet sa première fonctionnalité cryptographique. Problème : des chercheurs en sécurité auraient déjà découvert des vulnérabilités !
Telegram annonce son « passport »
Le nouveau service Telegram Passport, présenté le 26 juillet dernier sur le blog officiel de Telegram, doit permettre à ses utilisateurs de stocker en ligne des données personnelles sensibles, tels que passeport, carte d’identité, permis de conduire et relevés bancaires, dans le but de les partager avec des exchanges ou des projets d’ICO (Initial Coin Offering), pour vérifier l’identité des utilisateurs via leur processus KYC (« Know Your Customer »).
Cette composante d’identification faisait partie intégrante de l’ambitieux système de blockchain que Telegram avait promis dans le whitepaper de son ICO.
Évidemment, ce genre de service est très recherché par les investisseurs cryptos, le seul souci étant qu’une startup américaine, appelée Virgil Security et spécialisée dans la cybersécurité, a identifié plusieurs faiblesses dans cette nouvelle application d’aide à la vérification d’identité de Telegram.
Car, au vu de la sensibilité et de la valeur des documents stockés, le service Telegram Passport sera une cible de grande valeur pour les hackers mal intentionnés.
Virgil Security met à mal la sécurité du Telegram Passport
Leur rapport, consultable sur le site de la société Virgil Security, annonce rapidement la couleur au bout de quelques lignes :
« Malheureusement, la sécurité de [Telegram] Passport déçoit de plusieurs façons. »
La principale préoccupation de Virgil Security est la façon dont les mots de passe des utilisateurs de Telegram Passport sont chiffrés, via la fonction de hachage SHA-512. Selon la startup en cybersécurité, il y aurait une vulnérabilité possible par « force brute », attaque consistant à essayer tous les mots de passe possibles, jusqu’à trouver le bon et hacker le compte et son contenu.
« Le mot de passe est (…) mis dans une fonction de hachage appelée SHA-512. (…) Nous sommes en 2018 et un GPU [processeur graphique] de premier niveau peut contrôler environ 1,5 milliard de hachages SHA-512 par seconde. Cela signifie que dix de ces GPU (l’équivalent d’une petite ferme de minage de cryptomonnaie) peuvent vérifier chaque mot de passe de 8 caractères à partir d’un alphabet de 94 caractères en 4,7 jours ! C’est 135 $ par mot de passe dans le pire des cas, en utilisant les coûts d’électricité moyens américains pour le calcul. Dans la pratique cependant, ce nombre peut descendre à 5 $ par mot de passe ou même moins, compte tenu des choix de complexité du mot de passe. »
Comme le rapporte Coindesk, Dmitry Dain, co-fondateur de Virgil Security, précise que :
« Pour accéder aux hashs du mot de passe, l’attaque doit être interne à Telegram, les moyens pour y arriver sont nombreux : menace interne, spearphish, une clé USB corrompue, etc… ».
Leur rapport explique également en conclusion que :
« La sécurité des données que vous téléchargez sur le Cloud de Telegram repose en grande partie sur la force de votre mot de passe puisque les attaques par force brute sont faciles avec l’algorithme de hachage choisi. »
Après cette mise au point par la petite startup, Telegram va sûrement devoir revoir sa copie. En tout cas, si vous décidez d’utiliser Telegram Passport à titre personnel, pensez à suivre les conseils de Virgil Security : choisissez un mot de passe fort (et unique) pour ce genre de données sensibles, pour rester à l’abri d’une usurpation d’identité, ou autres déconvenues.
Sources : Telegram.org ; CoinDesk ; Virgil Security || Image from Telegram