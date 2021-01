Permettant de voir quels autres utilisateurs se trouvent dans les alentours, la fonction «Personnes à proximité» de l’app Telegram peut se retourner contre les personnes ne souhaitant pas révéler leur géolocalisation exacte, dans la plupart des cas leur adresse personnelle.

C’est ce qu’a démontré le chercheur en sécurité Ahmed Hassan. Sur son blog, l’expert explique qu’il est possible de déterminer l’emplacement exact d’un utilisateur. Il suffit d’utiliser un smartphone Android rooté (débridé) et d’installer l’app GPS Spoof, qui permet de falsifier les coordonnées GPS. La fonction «Personnes à proximité», désactivée par défaut, liste les utilisateurs se trouvant dans les environs en affichant pour chacun la distance qui les sépare de la personne. Il suffit ainsi au hacker de changer trois fois d’emplacement pour déterminer la position exacte de sa cible par triangulation.

1 000 dollars de récompense

Contacté fin décembre par le chercheur, Telegram ne s’est pas montré surpris par la découverte. La plateforme lui a indiqué deux semaines plus tard qu’elle n’avait pas l’intention d’apporter de correctif, cette faille n’étant pas un vrai problème pour elle: «Les utilisateurs dans la section "Personnes à proximité" partagent intentionnellement leur emplacement, et cette fonction est désactivée par défaut. On s’attend à ce qu’il soit possible de déterminer l’emplacement exact sous certaines conditions», ont répondu les développeurs de l’app.

Pourtant, pour une faille de confidentialité similaire dénichée il y a quelques années sur l’app de messagerie Line, le même chercheur avait été récompensé de 1 000 dollars par la société d’origine japonaise. «Malheureusement, ce n’est pas couvert par notre programme de primes aux bugs», lui a au contraire répondu Telegram.

