Telegram en plein bras de fer avec le Kremlin : ce qu’il faut savoir si vous tenez à la (vraie) confidentialité de vos échanges cryptés

Atlantico : Après que deux activistes russes ont affirmé en mai 2016 que leurs comptes Telegram avaient été hackés, l'entreprise avait suspecté le Kremlin d’en être à l’origine. ​Comment interpréter une telle information ? Faut-il y voir un "coup de com"​ de la part de Télégram, pour assurer ses utilisateurs de son indépendance ? Ou s’agit-il au contraire d'une décision réellement courageuse ?

Franck DeCloquement : Avant d’envisager une forme de réponse, revenons avant toute chose sur les faits. Vendredi dernier, le 13 avril, la justice Russe a en effet ordonné le blocage de l'application de messagerie bien connue « Telegram » sur son territoire. Et ceci, en vertu d’une loi antiterroriste votée en 2016 par les autorités du pays, qui obligent les entreprises présentes à stocker toutes les données des utilisateurs russes sur le territoire national. Permettant ainsi au Kremlin d'y avoir accès librement, selon ses besoins du moment. Ce blocage aux accents régaliens durera tant que la société ne livrera pas au FSB (les services secrets du Kremlin), le moyen d'avoir accès aux messages chiffrés que s’envoient les utilisateurs entre eux, grâce à l’application. Cette demande concerne prioritairement les messages envoyés depuis la Russie, et notoirement ceux des dissidents. Ce système de messagerie chiffré qui est jugé plutôt « sécurisé » par les spécialistes, a été inventé par deux Russes eux-même dissidents : Nikolaï et Pavel Dourov. Deux frères bien connus des amateurs de technologies innovantes pour avoir également créé « VKontakte », le site de réseautage social russe le plus utilisé, très similaire à l’emblématique Facebook. En 2014, Pavel Dourov est évincé. En cause selon lui, son refus de coopérer avec le FSB. « VKontakte » passe alors sous le contrôle d'hommes jugés proches de Vladimir Poutine Poutine : Alicher Ousmanov  et Igor Setchine. C’est à la suite de cette prise de contrôle brutale de leur création que Nikolai Dourov a créé le protocole de communication qui a servi de fondement à Telegram, alors qu’en parallèle son frère lui a apporté son soutien financier à travers son fonds d’investissement : « Digital Fortress ». Les frères Dourov ont d’ailleurs quitté la Russie peu après avoir lancé leur application phare. Telegram a essentiellement fait parler d’elle auprès du grand public, en raison de l’usage intensif qu’en ont fait les groupes djihadistes pour communiquer entre eux en toute discrétion.

Il semble bien que le bras de fer qui s’engage aujourd’hui n’ait pas à proprement parler un « coup de com », eu égard pour les griefs très sévères que nourrissent réellement les frères Dourov contre les maitres du Kremlin depuis 2017. Et cela même si ce dernier épisode dans le bras de fer que se livrent toutes les parties prenantes, à de fortes chances de promouvoir – a contrario – dans l’esprit du grand public – et auprès des 200 millions de personnes à travers le monde qui utilisent à ce jour l’application – l’action « déterminée » et « courageuse » des fondateurs de la messagerie cryptée face aux manœuvres intrusives du Kremlin. Un joli storytelling en somme. A ce titre, et suite à l'annonce faite d'un possible blocage par les autorités russes, Pavel Dourov avait très tôt indiqué sur son compte Twitter que les menaces de blocage autoritaire n’auraient pas de prise, et que son entreprise s’engageait tout entière à défendre la liberté et la confidentialité des données des utilisateurs de son application. Telegram fait désormais partie des réseaux interdits et inscrits sur une « blacklist » en Russie, à l’image de Dailymotion ou de LinkedIn. Toutefois, les codirigeants de Telegram ont ajouté dans leur dispositif de messagerie, la possibilité pour leurs utilisateurs de contourner le blocus des autorités grâce à l’usage de serveurs « relais ». Et à cette heure, l’Internet russe regorge déjà de conseils en tous genres pour briser l’embargo et ainsi contourner le blocus des autorités.

Quelles sont les limites actuelles de Telegram ? En quoi l'application présente-t-elle, ou non, un danger pour ses utilisateurs, et en particulier, pour les officiels qui s'en servent ? ​

Les messages stockés sur les serveurs de Telegram sont chiffrés. Ce qui veut dire aussi qu'il faut très schématiquement une « clé » de déchiffrement pour pouvoir les lire. Or, ces clés ne sont pas centralisées mais situées dans différents serveurs – répartis de par le monde – sous différentes juridictions. La messagerie a d’ores et déjà expliqué que les exigences des autorités russes étaient « inapplicables » d’un simple point de vue technique, et finalement irréalistes. Toutefois, l’application des frères Dourov n’est pas si sécurisée que cela pour ceux qui envisageraient de l’utiliser en toute quiétude, pour communiquer à des tiers des informations jugées confidentielles. Certes, l'application se vend comme un système de messagerie « très » sécurisée. Mais la réalité est sans aucun doute moins rassurante. L'intérêt principal de Telegram est tout entier contenu dans son système de messagerie de groupe, appelé communément « boucles ». Si celui-ci est bien chiffré comme il l’annonce, il ne l'est toutefois pas de bout en bout… C'est-à-dire que les messages sont à un moment ou à un autre stockés sur un serveur de Telegram. Ceux-ci sont certes sécurisés par chiffrage, mais il n'est donc pas impossible d'y avoir accès, à condition toutefois de disposer de la fameuse « clé » de déchiffrement dont il est question. À l'inverse, les messages confidentiels réellement chiffrés de « bout en bout » sont eux stockés nulle part ailleurs, en dehors des téléphones mobiles  eux-mêmes utilisés pour les transmettre. Mais à contrario, ceci ne permet pas « d'échanger en groupe »…

Par ailleurs, le chiffrement utilisé par l’application Telegram n'est pas « libre et public ». Et pour beaucoup de spécialistes en cybersécurité, cela peut poser un problème : impossible en l’occurrence pour des chercheurs en sécurité informatiques indépendants de vérifier dans ce cas s'il n’existe pas de failles de sécurité notable dans le protocole d'échange et de chiffrement du dispositif. Des soucis que n'ont pas des applications comme « WhatsApp » ou  « Signal », qui utilisent un système de chiffrement dit « libre », mais réputé aussi très fiable, puisque « testé » et évalué continuellement par les experts. Reste qu’il est toujours envisageable de se faire pirater directement son mobile par les autorités elles-mêmes. Une technique qui semble avoir d’ores et déjà donné de bons résultats, puisque le FSB aurait réussi à s'infiltrer dans le compte Telegram d'activistes surveillés par le régime, en mettant en œuvre cette méthode aux accents quelque peu rustiques. Affaire à suivre donc…

Pour revenir à vos interrogations initiales sur le risque que pourraient encourir certaines personnalités officielles qui se servent de cette application de façon intensive, les inquiétudes ne sont pas de mise auprès des personnels qualifiés. Car si Telegram est beaucoup utilisé par nos femmes et hommes de pouvoir, les informations sensibles ne s'y échangent pas… si toutefois les protocoles de sécurité sont respectés. Pour les conversations dites « sensibles », les VIP utilisent les SMS sécurisés, via l’usage de téléphones mobiles professionnels sécurisés et fournis directement par les services de l’Etat. Concernant les informations très secrètes ou classifiées, les échanges se font le plus souvent de vive voix, dans des salles « blanches ». Autrement dit, sous l’égide de précautions maximum, sans possibilités de captations malveillantes ou frauduleuses par des tiers extérieurs commandités, ou des prédateurs agissants discrètement pour commettre leurs méfaits.

Le secrétaire d'État au numérique, Mounir Mahjoubi, a annoncé le lancement prochain d'une messagerie cryptée publique. Serait-ce une alternative crédible à Telegram ? Doit-on voir dans cette volonté de l'État français d'obtenir son autonomie dans le domaine, et peut-on imaginer que le degré de sécurité sera plus important, pour les Français ?

Dans un monde parfait, si cette messagerie française « dédiées » voyait le jour sur le modèle de « Signal », « Telegram » ou « WhatsApp », et était en effet maitrisée techniquement et auditée par les services spécialisés de l’Etat, nul doute que son usage institutionnel serait potentiellement plus sécurisé et fiable. Mais qui, hormis les personnels protégés ou qualifiés, voudrait en faire l’usage à titre privé ? Sachant justement que le dispositif serait en quelque sorte « sous surveillance global » ? Le problème se révèlerait dans ce cas moins « sécuritaire » que « commercial ».