<\/p>\n
La plateforme de messagerie instantan\u00e9e\u00a0Telegram\u00a0a eu bien du fil \u00e0 retordre au d\u00e9but de ce mois d’avril 2024 avec la d\u00e9couverte d’une faille zero day dans son application desktop pour Windows. Cette faille de s\u00e9curit\u00e9, r\u00e9v\u00e9l\u00e9e par des utilisateurs de X.com et abonn\u00e9s \u00e0 des forums de hacking, permettait de contourner les avertissements de s\u00e9curit\u00e9 de l’application et d’ex\u00e9cuter automatiquement des scripts Python.<\/p>\n
Les pirates pouvaient ainsi exploiter cette vuln\u00e9rabilit\u00e9 pour ex\u00e9cuter du code \u00e0 distance sur l’appareil de l’utilisateur, rendant vuln\u00e9rables les donn\u00e9es personnelles. Telegram a rapidement r\u00e9agi en corrigeant cette vuln\u00e9rabilit\u00e9, qui n’\u00e9tait due qu’\u00e0 une faiblesse humaine.<\/p>\n
Les rumeurs ne se r\u00e9pandent pas qu’aux machines \u00e0 caf\u00e9. Celle d’une possible vuln\u00e9rabilit\u00e9 d’ex\u00e9cution de code \u00e0 distance dans la version desktop de Telegram pour Windows a fil\u00e9 comme une tra\u00een\u00e9e de poudre sur les forums de piratage et sur X.com. Il \u00e9tait question d’une faille de type \u00ab\u00a0zero click\u00a0\u00bb, encore plus redoutable que les simples\u00a0failles zero day, comme r\u00e9cemment dans Google Chrome, ce qui ne laisse rien pr\u00e9sager de bon aux utilisateurs.<\/p>\n
Malgr\u00e9 les affirmations selon lesquelles un simple clic sur un m\u00e9dia partag\u00e9 pourrait lancer des ex\u00e9cutions de scripts Python sur les machines des utilisateurs, Telegram a rapidement r\u00e9agi en contestant ces all\u00e9gations, qualifiant m\u00eame les vid\u00e9os de d\u00e9monstration de canulars. Le message, publi\u00e9 sur son compte X.com, a depuis \u00e9t\u00e9 supprim\u00e9.<\/p>\n
Le site\u00a0Bleeping Computer<\/em>\u00a0a demand\u00e9 des explications \u00e0 Telegram, qui a mis les choses au clair dans sa r\u00e9ponse :<\/p>\n Les rumeurs concernant l’existence de vuln\u00e9rabilit\u00e9s de type \u00ab\u00a0zero click\u00a0\u00bb dans Telegram Desktop sont inexactes. Certains \u00ab\u00a0experts\u00a0\u00bb ont recommand\u00e9 de \u00ab\u00a0d\u00e9sactiver les t\u00e9l\u00e9chargements automatiques\u00a0\u00bb sur Telegram. Il n’y a eu aucun probl\u00e8me qui aurait pu \u00eatre d\u00e9clench\u00e9 par les t\u00e9l\u00e9chargements automatiques.<\/p>\n Cependant, sur Telegram Desktop, il y avait un probl\u00e8me qui exigeait que l’utilisateur CLIQUE sur un fichier malveillant, alors que l’interpr\u00e9teur Python \u00e9tait install\u00e9 sur son ordinateur. Contrairement \u00e0 ce qui a \u00e9t\u00e9 rapport\u00e9 pr\u00e9c\u00e9demment, il ne s’agissait pas d’une vuln\u00e9rabilit\u00e9 de type \u00ab\u00a0z\u00e9ro clic\u00a0\u00bb, et elle ne pouvait affecter qu’une infime partie de notre base d’utilisateurs : moins de 0,01 % de nos utilisateurs ont install\u00e9 Python et utilisent la version correspondante de Telegram for Desktop.<\/p>\n Un correctif c\u00f4t\u00e9 serveur a \u00e9t\u00e9 appliqu\u00e9 pour s’assurer que ce probl\u00e8me ne se reproduise plus, de sorte que toutes les versions de Telegram Desktop (y compris les plus anciennes) n’aient plus ce probl\u00e8me.<\/p><\/blockquote>\n\n
<\/p>\n<\/div>\n
\n\nUne faute de frappe \u00e0 l’origine de la faille zero day<\/h2>\n<\/div>\n<\/div>\n