Telegram introduit un étiquetage pour les utilisateurs de clients Android non officiels
Telegram a introduit un indicateur pour les comptes utilisant des clients non officiels. Un avertissement apparaît à côté du nom d'utilisateur : « Cet utilisateur utilise un client Telegram non officiel, ce qui peut réduire la sécurité des discussions. » Cela s'applique aux applications tierces, en particulier pour Android, où des vulnérabilités graves ont été identifiées.
Cette mesure est liée aux risques croissants dans les clients alternatifs. Le 20 mars 2026, un article anonyme a révélé une attaque MITM dans le client Telega. L'analyse a mis en évidence l'activation d'une fonctionnalité cachée le 18 mars : tout le trafic MTProto est redirigé via des serveurs proxy gérés par des développeurs en Russie.
Analyse de sécurité des clients alternatifs
Des experts de RKS Global ont testé huit clients Telegram non officiels populaires pour Android. Les résultats confirment des problèmes systémiques :
- Telegram Official — référence de base sans fuites.
- Telegram X — version optimisée de Telegram.
- Plus Messenger — inclut Firebase Analytics et 1 SDK publicitaire.
- Nekogram — ne désactive pas Firebase.
- Graph Messenger — 6 SDK, trafic vers la Russie, Firebase.
- Telega — remplace les serveurs par des proxies russes, MyTracker, OK.ru.
- iMe — plus de 15 SDK, trafic vers la Russie, Firebase, ad.mail.ru.
- F-Droid (Forkgram, Mercurygram) — forks avec des risques potentiels.
Menaces principales :
- Trois clients (Telega, Graph Messenger, iMe) acheminent les données via des serveurs russes.
- Firebase Analytics est actif dans Plus Messenger, Graph Messenger, iMe ; Nekogram ne le bloque pas. Le client officiel le désactive.
- Les SDK publicitaires augmentent les risques : Graph Messenger (6), iMe (plus de 15), Plus Messenger (1). Traces de VK Group dans Telega et iMe.
- Telega est en tête des vulnérabilités : interception complète du trafic MITM.
Ces conclusions reposent sur une analyse statique et dynamique des APK, le trafic réseau et la décompilation.
Nouveau client open source Monogram
En mars 2026, Monogram est apparu sur GitHub — un client Android non officiel. Construit avec Kotlin et Jetpack Compose pour une interface utilisateur déclarative et Material Design 3. Utilise la TDLib officielle pour le protocole.
La licence GPLv3 garantit l'ouverture. Les auteurs insistent sur le fait qu'il est en développement actif : attendez des mises à jour, des refactorisations et des bugs. Objectif — une expérience native sans compromis sur la sécurité.
Monogram évite les pièges courants : pas d'analyse tierce, de proxies ou de SDK. Le trafic va directement vers les serveurs Telegram.
Points clés
- Telegram étiquette les clients non officiels avec un avertissement de sécurité.
- Telega implémente un MITM : tout le trafic MTProto passe par des proxies russes depuis le 18 mars 2026.
- 3 clients sur 8 envoient des données en Russie ; Firebase et SDK publicitaires dans la plupart.
- Monogram — client open source en Kotlin/Jetpack Compose sur TDLib, GPLv3, en développement.
- Pour les développeurs intermédiaires/seniors : vérifiez les APK pour les proxies, l'analyse et les SDK avant installation.
— Editorial Team
Aucun commentaire pour le moment.