Fin mars, le fondateur de la société Petcube, Yaroslav Azhniuk, a déclaré qu’il était temps d’interdire l’utilisation de Telegram en Ukraine. Dans un même temps, cet outil de messagerie est déjà devenu un facteur important, permettant aux Ukrainiens de s’informer sur la guerre. C’est aussi un service de communication rapide. L’application est même utilisée par des fonctionnaires : à la fois pour communiquer, et pour informer le public sur leurs activités. Par ailleurs, Telegram n’a pas la meilleure réputation parmi les professionnels de la sécurité.
Pendant longtemps, l’hypothèse que les liens présumés de Telegram avec les autorités russes peuvent être à l’origine de la vulnérabilité de l’application était vue comme une exagération. Mais aujourd’hui, les doutes se renforcent.
Durov et Kremlin
Selon Pavel Durov, le « père » de Telegram, il a commencé à réfléchir à la création d’une messagerie sécurisée en 2011 lorsqu’il a été approché par les services secrets russes. Deux ans plus tard, Durov a présenté la première version de Telegram. À cette époque, il ne possédait plus de parts dans le réseau social VKontakte, qu’il avait créé – par une série de transactions, Mail.Ru Group avait acheté plus de 52 % des actions, après quoi Durov avait vendu le reste et a quitté la Russie.
En 2017, les autorités russes ont tenté de bloquer Telegram en raison de son non-respect de la loi dite de Yarovaya (député russe). Parmi les exigences de cette loi figuraient une restriction sur l’utilisation de tout outil de cryptage, et l’obligation de stocker les données d’activités des internautes en Russie. Les tentatives de blocage qui ont débuté en 2018 ont eu peu d’impact sur l’accessibilité de Telegram. La confrontation prolongée entre le produit de Durov et Roskomnadzor s’est terminée par des concessions mutuelles. Tout d’abord, Telegram a annoncé la localisation de ses serveurs en Russie (ce qui était l’une des exigences clés de la loi de Yarovaya), puis les députés de la Douma ont rédigé un projet de loi visant à débloquer Telegram.
Par la suite, des chaînes d’agences gouvernementales russes et des hauts fonctionnaires ont commencé à apparaître en masse sur Telegram. Roskomnadzor, qui avait tant insisté pour bloquer la messagerie, a lancé sa propre chaîne. Pourquoi les autorités russes, qui s’opposaient tant à Telegram, sont devenus si coopératives ? Cette question reste sans réponse, ce qui alimente les soupçons sur les relations réelles de Durov avec le Kremlin.
L’aspect financier de l’affaire n’est pas clair non plus. En 2016, Durov a déclaré qu’il dépensait environ 1 million de dollars par mois de ses propres fonds pour assurer le maintien de Telegram. À cette époque, l’audience de Telegram était d’environ 100 millions d’utilisateurs, et en 2021, elle dépassait le demi-milliard. De la publicité a commencé à apparaître sur la messagerie assez tard, seulement à partir de novembre 2021. Entre-temps, en mars de la même année, Durov a levé un milliard de dollars d’investissement en plaçant des obligations par l’intermédiaire de banques russes. Les propriétaires ultimes des obligations de Telegram ne sont pas connus. On peut dire sans risque de se tromper que les investisseurs de Telegram incluent le Fonds russe d’investissement direct : une structure financière publique qui fait l’objet de sanctions américaines depuis le 28 février de l’année dernière.
Failles de sécurité
Pour qu’une messagerie soit qualifiée de sécurisée, elle doit répondre à certains critères. Tout d’abord, elle prend en charge le cryptage complet de bout en bout, ce qui empêche des personnes non autorisées d’interférer avec les messages ou de les lire. La deuxième condition obligatoire est de sauvegarder les messages uniquement sur les appareils des utilisateurs participant au dialogue, et non sur les serveurs du fournisseur de la messagerie. La transparence du code du logiciel, l’auditabilité de l’entreprise et l’absence de piratage et de fuite de données sont également souhaitables.
Telegram ne répond pas au premier critère obligatoire pour la sécurité d’une messagerie, parce qu’il utilise le cryptage de bout en bout uniquement dans des discussions secrètes, et non pas dans toutes les discussions par défaut. La messagerie stocke aussi les messages sur ses serveurs. Et comme l’entreprise a respecté la « loi de Yarovaya » et installé des serveurs en Russie, les Ukrainiens ne peuvent être sûrs que leurs messages ne finiront pas sur des serveurs physiquement situés dans le pays envahisseur. En ce qui concerne l’open-source, Telegram suscite également des doutes. Seul le code des applications mobiles sont open-source, mais pas le côté serveur. Par conséquent, seule la société Telegram sait ce qui se passe exactement quand le message d’un utilisateur arrive sur les serveurs de Telegram.
Faits révélateurs
En février 2023, une vaste enquête mené par le média Wired a alimenté le feu des soupçons sur Telegram. Les journalistes ont cité plusieurs cas où des agents du FSB ont arrêté des opposants, se référant à une correspondance dans Telegram. L’une des personnes arrêtées a affirmé qu’elle correspondait avec des collègues dans des conversations secrètes. Selon les auteurs de l’enquête, il s’agit là d’un des exemples possibles de coopération de Telegram avec les autorités russes, qui, en possession des clés de cryptage du service, peuvent lire les messages des utilisateurs.
Les journalistes de Wired soulignent également que de nombreuses questions se posent sur la sécurité de l’API Telegram (l’interface pour les développeurs tiers qui peuvent utiliser les fonctionnalités de l’application). Ses fonctions vous permettent de déterminer la géolocalisation exacte des utilisateurs, de voir à quelles chaînes ils sont abonnés et de créer un portrait détaillé pour chaque utilisateur du service.
Et en décembre 2022, l’expert en sécurité Matt Tate a évoqué d’autres cas de surveillance d’Ukrainiens à l’aide de Telegram. Il s’agit des résidents des territoires occupés par la Russie, dont la correspondance a été surveillée par les services spéciaux russes sur Telegram.
Tate analyse l’histoire d’un habitant de Kherson, dont la correspondance avec les représentants des services spéciaux ukrainiens est tombée entre les mains des occupants. L’homme a été capturé et retenu captif et torturé pendant 11 jours, puis on a essayé de l’utiliser pour identifier d’autres résistants. Selon l’expert, les Russes ont eu accès à sa correspondance grâce aux métadonnées et aux vulnérabilités de l’algorithme de messagerie utilisé par Telegram. « La sécurité de Telegram a longtemps été remise en question par la communauté de la cyber sécurité. De nombreux aspects de sa conception n’ont aucun sens du point de vue de la sécurité. Mais jusqu’à présent, il n’y avait aucune preuve tangible que les services spéciaux russes l’ont utilisée dans la pratique », a écrit Tate.
Bien sûr, il n’est pas facile de bloquer tout simplement Telegram en Ukraine. Ne serait-ce que parce que sa popularité a rapidement accrue pendant la guerre totale. De plus, les structures officielles utilisent aussi la messagerie, ils devront trouver une plateforme alternative avant l’hypothétique « interdiction » de Telegram. Néanmoins, compte tenu des risques réels et potentiels, l’Ukraine doit s’orienter progressivement vers l’abandon du service, même si cela prend du temps.
