Sécurité des clients Telegram alternatifs pour Android : analyses et risques des proxies
Des experts ont testé huit clients Telegram alternatifs populaires pour Android. Tous présentent des risques potentiels en raison de fuites de données, d'analyses et de modifications du protocole. Le client Telegram officiel minimise les trackers, mais les forks ajoutent souvent des SDK pour la publicité et la collecte de métadonnées.
Les applications testées incluent le Telegram officiel, Telegram X, Plus Messenger, Nekogram, Graph Messenger, Telega, iMe, et les clients F-Droid (Forkgram, Mercurygram). Problèmes principaux : transmission de données vers des serveurs russes, Firebase Analytics, et SDK publicitaires.
Transmission de données vers la Russie
Trois clients — Telega, Graph Messenger et iMe — envoient des données vers des serveurs en Russie. Cela crée des risques d'accès par les forces de l'ordre en vertu des lois locales. Telega est le plus critique : l'application remplace secrètement les serveurs Telegram par les siens à Kazan. Tout le trafic MTProto est routé via des proxies russes, confirmé par décryptage HTTPS et analyse pcap.
Cette approche MITM permet d'intercepter les messages, les métadonnées et les sessions sans notification à l'utilisateur. Autres clients liés à la Russie :
- Telega : MyTracker, OK.ru (VK Group) ;
- iMe : ad.mail.ru (VK Group).
Firebase Analytics et SDK publicitaires
Firebase Analytics est actif dans trois clients explicitement (Plus Messenger, Graph Messenger, iMe) et dans Nekogram (non désactivé). Le Telegram officiel le désactive, mais les alternatives restaurent la collecte de données de Google : utilisation de l'application, contacts, comportement dans les chats.
Le nombre de SDK publicitaires est corrélé aux risques :
- Graph Messenger : 6 SDK ;
- iMe : 15+ SDK ;
- Plus Messenger : 1 SDK.
Ces mécanismes collectent de la télémétrie envoyée à des tiers. Le client officiel et Telegram X affichent un profil propre avec des permissions minimales.
Faux applications trojanisées
Un trojan déguisé en Telegram X a été découvert. Ce n'est pas un fork mais un espionware complet d'origine chinoise. Fonctionnalités du trojan :
- Vol de sessions Telegram ;
- Adhésion automatique à des chaînes ;
- Interception et remplacement de messages ;
- Prise de contrôle de compte.
Telegram X du développeur Viacheslav Krylov est bien noté : moins de trackers que le client officiel. L'installation depuis des sources non vérifiées amplifie les menaces.
Points clés
- Telega remplace les serveurs MTProto par des proxies russes — confirmé par l'analyse du trafic ;
- Firebase Analytics dans 4/8 clients envoie des données à Google ;
- SDK publicitaires (jusqu'à 15+) dans iMe et Graph Messenger augmentent les fuites ;
- Trojan déguisé en Telegram X vole les sessions et prend le contrôle des comptes ;
- Client officiel et Telegram X sont les plus sûrs.
Recommandations pour les développeurs et les utilisateurs
Les développeurs de forks devraient publier le code source et les audits. Utilisateurs : vérifiez les permissions, analysez le trafic avec Wireshark ou mitmproxy. Évitez les APK de sources tierces. Pour les niveaux intermédiaires/seniors : surveillez le trafic réseau des clients alternatifs avec tcpdump et ssldump pour MTProto.
— Editorial Team
Aucun commentaire pour le moment.