La plateforme de messagerie instantanée Telegram a eu bien du fil à retordre au début de ce mois d’avril 2024 avec la découverte d’une faille zero day dans son application desktop pour Windows. Cette faille de sécurité, révélée par des utilisateurs de X.com et abonnés à des forums de hacking, permettait de contourner les avertissements de sécurité de l’application et d’exécuter automatiquement des scripts Python.
Les pirates pouvaient ainsi exploiter cette vulnérabilité pour exécuter du code à distance sur l’appareil de l’utilisateur, rendant vulnérables les données personnelles. Telegram a rapidement réagi en corrigeant cette vulnérabilité, qui n’était due qu’à une faiblesse humaine.
Les rumeurs ne se répandent pas qu’aux machines à café. Celle d’une possible vulnérabilité d’exécution de code à distance dans la version desktop de Telegram pour Windows a filé comme une traînée de poudre sur les forums de piratage et sur X.com. Il était question d’une faille de type « zero click », encore plus redoutable que les simples failles zero day, comme récemment dans Google Chrome, ce qui ne laisse rien présager de bon aux utilisateurs.
Malgré les affirmations selon lesquelles un simple clic sur un média partagé pourrait lancer des exécutions de scripts Python sur les machines des utilisateurs, Telegram a rapidement réagi en contestant ces allégations, qualifiant même les vidéos de démonstration de canulars. Le message, publié sur son compte X.com, a depuis été supprimé.
Le site Bleeping Computer a demandé des explications à Telegram, qui a mis les choses au clair dans sa réponse :
Les rumeurs concernant l’existence de vulnérabilités de type « zero click » dans Telegram Desktop sont inexactes. Certains « experts » ont recommandé de « désactiver les téléchargements automatiques » sur Telegram. Il n’y a eu aucun problème qui aurait pu être déclenché par les téléchargements automatiques.
Cependant, sur Telegram Desktop, il y avait un problème qui exigeait que l’utilisateur CLIQUE sur un fichier malveillant, alors que l’interpréteur Python était installé sur son ordinateur. Contrairement à ce qui a été rapporté précédemment, il ne s’agissait pas d’une vulnérabilité de type « zéro clic », et elle ne pouvait affecter qu’une infime partie de notre base d’utilisateurs : moins de 0,01 % de nos utilisateurs ont installé Python et utilisent la version correspondante de Telegram for Desktop.
Un correctif côté serveur a été appliqué pour s’assurer que ce problème ne se reproduise plus, de sorte que toutes les versions de Telegram Desktop (y compris les plus anciennes) n’aient plus ce problème.
Cependant, la rumeur d’une faille zero day a persisté. Démonstrations à l’appui sur les sites de hacking, il s’est avéré qu’elle avait été causée par… une simple coquille dans le code source de l’application, permettant l’envoi de fichiers Python « .pyzw » qui contournaient les avertissements de sécurité de Telegram. L’exécution automatique de ces scripts, sans avertissement préalable de l’application, exposait les utilisateurs à des risques pour la sécurité de leurs données personnelles. Même si Telegram a contesté le caractère « zero click » de cette faille, elle a néanmoins pris des mesures immédiates pour corriger ce problème, déployant une correction côté serveur pour empêcher les scripts Python de se lancer automatiquement lorsqu’ils sont cliqués.
Au pied du mur, Telegram a réagi rapidement en corrigeant l’orthographe de l’extension dans le fichier de code source. Cependant, cette correction ne semble pas encore effective, car les avertissements n’apparaissent pas lorsque l’on clique sur le fichier pour le lancer. Au lieu de cela, Telegram a utilisé un correctif côté serveur qui ajoute l’extension « .untrusted » aux fichiers « pyzw ».
Ainsi, lorsqu’on clique dessus, Windows demande quel programme on souhaite utiliser pour les ouvrir au lieu de les lancer automatiquement dans Python. Les prochaines versions de l’application Telegram Desktop devraient inclure le message d’avertissement de sécurité plutôt que d’ajouter l’extension « .untrusted », ce qui ajoutera un peu plus de sécurité au processus.
Source : Bleeping Computer