42 millions d’identifiants et de numéros de téléphone iraniens du « Telegram » divulgués en ligne : rapport

42 millions d'enregistrements provenant d'une version tierce de l'application de messagerie Telegram utilisée en Iran ont été exposés sur le Web sans qu'aucune authentification ne soit requise pour y accéder. Comparitech a travaillé avec le chercheur en sécurité Bob Diachenko pour découvrir et signaler l'exposition, qui comprenait des noms d'utilisateur et des numéros de téléphone, entre autres données.

Les données ont été publiées par un groupe appelé « Hunting system » (traduit du farsi) sur un cluster Elasticsearch qui ne nécessitait aucun mot de passe ni aucune autre authentification pour y accéder. Il a été supprimé après que Diachenko a signalé l'incident au fournisseur d'hébergement le 25 mars.

Telegram affirme que les données proviennent d'un « fork » non officiel de Telegram, une version de l'application non affiliée à l'entreprise.Telegram est une application open source, permettant à des tiers d'en créer leurs propres versions. L’application officielle Telegram étant fréquemment bloquée en Iran, de nombreux utilisateurs se ruent vers des versions non officielles.

Un porte-parole de Telegram a déclaré à Comparitech : « Nous pouvons confirmer que les données semblent provenir de forks tiers extrayant les contacts des utilisateurs. Malheureusement, malgré nos avertissements, les Iraniens utilisent toujours des applications non vérifiées. Les applications Telegram sont open source, il est donc important d’utiliser nos applications officielles qui prennent en charge les versions vérifiables.

L'incident fait suite à un incident similaire survenu en 2016, lorsque Reuters a rapporté 15 millions d’identifiants d’utilisateurs, de numéros de téléphone et de codes de vérification à usage unique de Telegram ont été identifiés par des pirates informatiques iraniens, ce qui a compromis plus d’une douzaine de comptes.

Chronologie de l'exposition

Les données ont été exposées pendant environ 11 jours avant d'être supprimées.

• 15 mars : La base de données a été indexée par le moteur de recherche BinaryEdge
• 21 mars : Diachenko découvre les données exposées et commence à enquêter
• 24 mars : Diachenko a envoyé un rapport d'abus au fournisseur d'hébergement
• 25 mars : le cluster Elasticsearch a été supprimé.

Il semble que d’autres parties non autorisées aient pu accéder aux données alors qu’elles étaient exposées. Nous avons découvert qu'au moins un utilisateur avait publié les données sur un forum de hackers.

Quelles données ont été exposées ?

La base de données contenait plus de 42 millions d'enregistrements constitués de données d'utilisateurs provenant d'Iran.

• ID de compte utilisateur
• Noms d'utilisateur
• Les numéros de téléphone
• Hachages et clés secrètes

Les hachages et les clés secrètes de la base de données ne peuvent pas être utilisés pour accéder aux comptes. Ils fonctionnent uniquement depuis le compte auquel ils appartiennent, selon un porte-parole de Telegram.

Dangers des données exposées

Les informations contenues dans cette base de données exposée présentent un risque évident pour les utilisateurs. Non seulement cela révèle qui en Iran utilise Telegram (ou un fork Telegram), mais cela les ouvre également aux attaques.

Les attaques par échange de carte SIM en sont un exemple. Une attaque par échange de carte SIM se produit lorsque l’attaquant convainc un opérateur téléphonique de déplacer un numéro de téléphone vers une nouvelle carte SIM, lui permettant ainsi d’envoyer et de recevoir les messages SMS et les appels téléphoniques de la victime. L'attaquant pourrait alors recevoir ses codes de vérification d'accès uniques, lui accordant un accès complet aux comptes et aux messages de l'application.

Les utilisateurs concernés pourraient également être exposés à un phishing ciblé ou à des escroqueries utilisant les numéros de téléphone de la base de données.

Une brève histoire de Telegram en Iran

Telegram est l'application de messagerie la plus populaire en Iran avec plus de 50 millions d'utilisateurs dans tout le pays. Il est apprécié pour sa sécurité, qui permet un cryptage de bout en bout des messages. Cela signifie que le gouvernement et d’autres tiers ne peuvent pas espionner les conversations qu’ils interceptent.

En 2016, des pirates ont identifié les numéros de téléphone de 15 millions d’utilisateurs de Telegram en Iran. Les experts affirment que les opérateurs téléphoniques nationaux ont probablement intercepté les messages texte utilisés pour activer de nouveaux comptes sur Telegram. Les compagnies de téléphone ont ensuite transmis ces messages et numéros de téléphone à des pirates informatiques, qui les ont utilisés pour pirater plus d'une douzaine de comptes.

Les autorités iraniennes ont ordonné aux sociétés de télécommunications de bloquer temporairement l'accès à Telegram à plusieurs reprises entre 2015 et 2017. Celui-ci a été bloqué définitivement début 2018 à la suite de manifestations antigouvernementales et de troubles civils à l'échelle nationale.

Malgré cela, Telegram reste l’application de messagerie la plus populaire du pays. De nombreux utilisateurs y accèdent via des proxys et des VPN. Certains, cependant, optent pour des forks tiers de Telegram, des versions non officielles de l'application que le gouvernement iranien n'aurait peut-être pas bloquées.

Les applications Telegram sont open source afin que chacun puisse vérifier indépendamment que le code est authentique. Cependant, cela a également conduit à plusieurs forks, des versions alternatives de Telegram gérées par des tiers. Les opérateurs de ces forks ne sont pas affiliés à Telegram même s’ils partagent le code des applications, et ils n’utilisent pas nécessairement de mesures de sécurité adéquates ni même ne se soucient de la vie privée des utilisateurs.

Comment nous avons découvert cette exposition et pourquoi nous l'avons signalée

Comparitech s'associe au chercheur en sécurité Bob Diachenko pour trouver des bases de données sur le Web qui ne sont pas correctement sécurisées. Lorsque nous trouvons des données exposées, nous signalons immédiatement l'incident conformément aux directives de divulgation responsable.

Nous étudions ensuite les données pour déterminer à qui elles appartiennent et ce qu’elles contiennent. Notre objectif est d’évaluer les dommages potentiels pour les utilisateurs finaux.

Une fois les données supprimées ou sécurisées, nous publions ensuite un rapport comme celui-ci pour sensibiliser. Nous espérons atténuer les conséquences négatives, telles que de nouvelles attaques contre les utilisateurs dont les informations personnelles ont été exposées.

Rapports précédents

Comparitech et Diachenko ont collaboré sur un certain nombre de rapports sur l'exposition des données affectant des millions de personnes, notamment :

• 8 millions de dossiers d'achats au Royaume-Uni dévoilés
• 250 millions de dossiers de service client et d’assistance Microsoft exposés
• 267 millions d’identifiants d’utilisateurs et de numéros de téléphone Facebook exposés en ligne
• 2,7 milliards d'adresses e-mail exposées provenant principalement de domaines chinois, dont 1 million incluaient des mots de passe
• Dossiers personnels détaillés de 188 millions de personnes découverts sur le Web
• 7 millions de dossiers d'élèves dévoilés par K12.com
• 5 millions de dossiers personnels appartenant à MedicareSupplement.com exposés au public
• 2,8 millions de dossiers clients CenturyLink exposés
• Fuite de 700 000 dossiers clients de Choice Hotels