Partager cet article
La technologie Telegram promise dans l'ICO est vulnérable aux attaques, selon les chercheurs
Telegram a lancé sa première application depuis son ICO, mais ce jeu d'identité laisse les chercheurs en sécurité sous le choc.
Par Brady Dale
Avec 1,7 milliard de dollars en banque après son offre initiale de pièces de monnaie (ICO), Telegram a publié sa première fonctionnalité compatible avec la cryptographie – mais les chercheurs en sécurité sont sceptiques.
Comme l'explique un article de blog publié aujourd'hui, Virgil Security, une startup américaine, a identifié plusieurs faiblesses dans sa nouvelle application de vérification d'identité, Passport. Si l'entreprise a félicité Telegram pour avoir publié l'API de l'application en open source, permettant ainsi la vérification du code par d'autres experts, Virgil Security a néanmoins détaillé deux problèmes liés à l'application : le chiffrement des données et la protection des données stockées.
La Suite Ci-Dessous
Ne manquez pas une autre histoire.Abonnez vous à la newsletter Crypto Daybook Americas aujourd. Voir toutes les newsletters
« Leur engagement en faveur de l'ouverture donne aux praticiens de la sécurité la possibilité d'examiner leur mise en œuvre et, idéalement, de contribuer à l'améliorer », a écrit Alexey Ermishkin de Virgil Security surle blog de l'entreprise, ajoutant :
« Malheureusement, la sécurité du passeport déçoit à plusieurs égards. »
Telegram n'a jamais annoncé ni vérifié publiquement l'existence de son ICO d'un milliard de dollars. Mais avec la fuite de documents en début d'année, il est devenu évident que l'entreprise, plus connue pour son application de chat, cherchait à concurrencer de nombreux services – du partage de fichiers à la navigation cryptée – déjà proposés par les startups Crypto .
De plus, elle souhaitait apporter des paiements basés sur la blockchain à l'application de chat Telegram, qui est devenue populaire ces dernières années au sein de la communauté Crypto .
Les paiements et la vérification d'identité vont de pair, ce qui fait de Passport une offre initiale naturelle pour l'entreprise. De plus, perturber les acteurs historiques de ID numérique comme Equifax, qui KEEP les données dans des bases de données centralisées vulnérables aux violations et aux abus, est depuis longtemps un objectif partagé par la communauté des Cryptomonnaie . C'est donc un point de départ idéal pour Telegram.
Dans son article de blogÀ propos du nouveau produit, Telegram promet que « vos documents d'identité et vos données personnelles seront stockés dans le cloud Telegram à l'aide d'un cryptage de bout en bout. Ils sont chiffrés avec un mot de passe que vous seul connaissez, de sorte que Telegram n'a pas accès aux données que vous stockez dans votre passeport Telegram. »
Il poursuit en promettant qu'à terme, ces données seront stockées de manière décentralisée. L'identité était ONEun des composants de l'ambitieux système basé sur la blockchain que Telegram avait promis. dans son livre blanc technique ICO.
Mais d' LOOKS les conclusions de Virgil Security, Telegram doit retourner à la planche à dessin.
Force brute
La principale critique de Virgil Security concernant la sécurité de Passport concerne la manière dont il crypte ses mots de passe.
En annonçant Passport,Télégramme publiéUne quantité considérable d'informations sur le fonctionnement du système. Virgil Security met notamment l'accent sur l'utilisation de SHA-512 pour le hachage des mots de passe par Telegram.
« Nous sommes en 2018 et un GPU de haut niveau peut vérifier par force brute environ 1,5 milliard de hachages SHA-512par seconde", écrivent-ils.
L'étude estime ensuite qu'avec suffisamment d'ordinateurs, ces mots de passe pourraient être déchiffrés pour un montant compris entre 135 et 5 dollars chacun, en fonction de la force des mots de passe choisis par les utilisateurs.
Cependant, avant qu'un attaquant puisse lancer son attaque, il devrait d'abord pénétrer dans Telegram lui-même, comme le reconnaît Virgil.
« Pour accéder aux hachages de mots de passe, l'attaque devrait être interne à Telegram. Les possibilités sont nombreuses : menace interne, spearphishing, ONE USB malveillante, ETC», a déclaré Dmitry Dain, cofondateur de Virgil Security, à CoinDesk.
Et si de nombreux utilisateurs commencent à utiliser et à charger à leur tour ces données dans le passeport de Telegram, cela fera de l'entreprise une cible très attractive.
Telegram a longtemps été critiqué pour avoir prissa propre approche de la cryptographie, plutôt que de s'appuyer sur des normes établies. Cela dit, le modèle de Telegram n'a pas encore été mis en défaut.
Données non signées
L'autre danger pour les utilisateurs critiqué par Virgil Security est un BIT plus nuancé : le fait que les données téléchargées sur Passport ne sont T signées.
En signant les données de manière cryptographique (une partie intégrante de l'architecture blockchain au sens large), les utilisateurs peuvent rapidement vérifier que les données ont été chargées par la personne qui prétend les avoir chargées et qu'elles n'ont T été modifiées.
Sans signature cryptographique, un attaquant pourrait modifier une partie des données sans que ONE ne le sache.
Le post de Virgil Security soutient :
« Aujourd'hui, lorsque les gens voient le chiffrement de bout en bout, ils pensent que leurs données seront transmises en toute sécurité à un tiers sans craindre qu'elles soient déchiffrées ou falsifiées. Malheureusement, les utilisateurs de Passport auront un faux sentiment de confiance. »
Pourtant, avec les critiques de Virgil Security et la nouveauté du produit, il devrait être relativement simple pour Telegram de renforcer sa sécurité (Virgil Security est un fournisseur de cryptage de bout en bout).
Telegram n'a pas immédiatement répondu à une Request de commentaire.
Serrure casséeimage via ShutterStock
Plus pour vous
Ce qu'il:
- As of October 2025, GoPlus has generated $4.7M in total revenue across its product lines. The GoPlus App is the primary revenue driver, contributing $2.5M (approx. 53%), followed by the SafeToken Protocol at $1.7M.
- GoPlus Intelligence's Token Security API averaged 717 million monthly calls year-to-date in 2025 , with a peak of nearly 1 billion calls in February 2025. Total blockchain-level requests, including transaction simulations, averaged an additional 350 million per month.
- Since its January 2025 launch , the $GPS token has registered over $5B in total spot volume and $10B in derivatives volume in 2025. Monthly spot volume peaked in March 2025 at over $1.1B , while derivatives volume peaked the same month at over $4B.
Sizin için daha fazlası
Le retournement baissier du Bitcoin s’accentue alors que 75 des 100 principales cryptomonnaies se négocient en dessous des moyennes clés ; le Nasdaq reste résilient
La poigne baissière des cryptomonnaies se resserre alors que 75 des 100 principales pièces se négocient en dessous des moyennes mobiles à 50 et 200 jours.
Bilinmesi gerekenler:
- 75 des 100 principales cryptomonnaies se négocient en dessous de leurs moyennes mobiles simples à 50 jours et à 200 jours.
- Les principales cryptomonnaies telles que le bitcoin, l’ether et le solana sous-performent par rapport aux principaux indices, affectant le sentiment de risque.
- Seules huit des 100 principales crypto-monnaies sont considérées comme survendues, ce qui indique que la plupart des monnaies pourraient encore avoir de la marge pour baisser davantage.
À la une
