Telegram offre une prime à un chercheur pour qu'il ne révèle pas une faille

Publié le 05 octobre 2021 à 12h00

Pour sa découverte d'une faille dans le système d'auto-destruction des images, Telegram a offert 1 000 euros à un chercheur. Cependant, pour récupérer la récompense, il devait signer un contrat l'empêchant de parler publiquement des détails techniques de la faille sans l'accord de l'entreprise.

Après avoir souligné l'existence de cette clause assez inhabituelle, le chercheur n'a plus eu de réponse de la part de l'entreprise.

Une faille dans le système d'auto-destruction

En février, Telegram a introduit des fonctionnalités d'auto-destruction pour les messages. Un chercheur du nom de Dmitrii a décidé de tester ces nouveautés et a découvert que les images censées être supprimées automatiquement ne l'étaient que « visuellement ». Si elles n'apparaissaient plus dans les conversations, elles restaient toujours présentes dans le cache du téléphone, dans un dossier Telegram Image. Le bug était présent dans l'application Telegram sur Android, dans les versions 7.5.0 à 7.8.0.

Telegram possède un système de bug bounty, géré par HackerOne, et c'est vers celui-ci que le chercheur s'est tourné pour informer l'entreprise de sa découverte en mars. Mais c'est seulement en septembre que Telegram a admis l'existence de la faille et a collaboré avec le chercheur sur le test de son correctif.

Une clause surprenante

Toutefois, deux mauvaises surprises supplémentaires attendaient Dmitrii. La première, la récompense qui s'élevait à seulement 1 000 euros, là où en 2019 la découverte d'une faille similaire avait été récompensée par 2 500 euros.

Et surtout, dans le contrat entre le chercheur et Telegram réalisé dans le cadre du bug bounty, une clause l'empêchait de dévoiler des détails techniques sur la faille sans l'accord écrit de l'entreprise. Une façon de faire assez inhabituelle lorsque la plupart des entreprises autorisent les chercheurs à parler de leurs découvertes après 60 ou 90 jours.

Après avoir attiré l'attention de l'entreprise sur ce détail, le chercheur a indiqué ne pas avoir eu de réponse et ne pas avoir reçu sa récompense.

Source : Ars Technica

Par Fanny Dufour

Arrivée dans la rédaction par le jeu vidéo, c’est par passion pour le développement web que je me suis intéressée plus largement à tout ce qui gravite autour de notre consommation des outils numériques, des problématiques de vie privée au logiciel libre en passant par la sécurité. Fan inconditionnelle de science-fiction toujours prête à expliquer pendant des heures pourquoi Babylon 5 est ma série préférée.

Articles de Fanny Dufour

Cybersécurité

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (5)

rashomoon

1000 euros ? 2500 euros ? Royal ! Ce n’est même pas le salaire mensuel d’un expert sécurité (certes comparaison tarif France). Pour faire l’économie d’une telle ressource Telegram (et autres) font des bug bounty - pourquoi pas : on paye au résultat -. Mais la prime est ridiculement basse.

slc974

Quelle bande de rachos, 1000€ pour le chercheur et 100k pour le cabinet d’avocat qui a rédigé le contrat… moi je leur dirait qu’ils aillent de faire (selon votre imagination:) au moins ils auront cramé des frais de contrat dans le vide.

Urleur

vraiment des radins et dire qu’ils se font des millions !

Proutie66

Je doute que ce soit réellement 1000 euros
Ca c’est la version officielle, celle qu’on dit

Un développeur c’est pas une pauvrette, surtout de ce niveau.

mrassol

Sans vouloir troller, il n’a pas non plus démonté l’appli, un tour dans un explorateur de fichiers et en 2 minutes on fait la même chose … Je suis certain que d’autres avaient trouvé la « faille » et n’en n’avais juste pas parlé …