La société CertiK, spécialisée dans la sécurité blockchain, a publié un nouveau rapport révélant une faille de sécurité dans Telegram Messenger, exposant les utilisateurs à des attaques malveillantes. Dans son article publié sur X, CertiK mentionne cette vulnérabilité que des pirates pourraient exploiter pour exécuter du code à distance (RCE) via le traitement multimédia de Telegram.
CertiK détaille la vulnérabilité de l'application de bureau Telegram
L'article précisait que des pirates pouvaient exploiter le traitement multimédia de l'application de bureau Telegram pour mener une attaque d'exécution de code à distance (RCE). CertiK a indiqué que les utilisateurs pouvaient être exposés à ces attaques malveillantes via des fichiers multimédias spécialement conçus. « Cette faille expose les utilisateurs à des attaques malveillantes via des fichiers multimédias spécialement conçus, tels que des images ou des vidéos », a déclaré CertiK.
Selon un porte-parole de CertiK, la vulnérabilité en question est limitée à l'application de bureau. Il précise que, contrairement à la version de bureau qui requiert une signature, l'application mobile n'exécute pas directement de programmes. Le porte-parole indique également que c'est la communauté de la sécurité qui a découvert le problème. Afin d'éviter cette vulnérabilité, CertiK recommande aux utilisateurs de désactiver le téléchargement automatique dans les paramètres de leur application Telegram.
Les utilisateurs peuvent désactiver le téléchargement automatique en cliquant sur « Paramètres », puis en sélectionnant « Avancé ». Une fois l'option de téléchargementmatic affichée, ils peuvent désactiver cette fonction pour tous les fichiers multimédias.
Telegram qualifie l'alerte de canular et prend des mesures pour remédier aux vulnérabilités
Telegram est une application de messagerie qui a enj un franc succès depuis son lancement. Compatible avec les cryptomonnaies, elle permet aux utilisateurs d'échanger des messages, des images, des vidéos et des actifs numériques comme Bitcoin et le Toncoin. Ces opérations sont réalisées grâce à un service de portefeuille de conservation tiers appelé Wallet. La plateforme propose ce service afin d'aider les débutants en cryptomonnaies qui ne maîtrisent pas encore la gestion autonome de leurs actifs.
Telegram a rapidement réagi à la publication sur X, affirmant que la vulnérabilité en question n'existe pas. « Nous ne pouvons pas confirmer l'existence d'une telle vulnérabilité. Cette vidéo est probablement un canular », a déclaré l'application de messagerie.
Cependant, ce n'est pas la première fois qu'une vulnérabilité est signalée sur la plateforme. En 2023, l'ingénieur de Google Dan Reva a découvert un bug qui pouvait permettre à des pirates d'activer la caméra et le microphone des ordinateurs portables macOS.
Telegram s'efforce également de détecter et de corriger les vulnérabilités de sa plateforme. L'application de messagerie propose un programme depuis 2014, offrant aux chercheurs et aux développeurs la possibilité de gagner jusqu'à 100 000 $ en découvrant des problèmes. De plus, l'application encourage vivement toute personne décelant des problèmes à les signaler. « Toute personne peut signaler des vulnérabilités potentielles dans nos applications et obtenir une récompense », a déclaré Telegram.
