// CLUBIC — MOBILE & WEB
Telegram visé par un malware voleur de sessions : comment protéger votre compte sans mot de passe
Un script PowerShell déguisé en mise à jour Windows cible le dossier tdata de Telegram Desktop pour voler des clés de session. Sans mot de passe ni code de vérification, l’attaquant prend le contrôle du compte. Les chercheurs de la société Flare ont intercepté l’outil en phase de test, avant tout déploiement à grande échelle.
L’an dernier, Telegram a franchi le milliard d’utilisateurs actifs, selon son cofondateur Pavel Durov. Son protocole de chiffrement MTProto a fait l’objet d’une vérification indépendante par des chercheurs de l’université d’Udine, en Italie. Pourtant, l’application desktop Windows conserve dans un dossier nommé tdata les clés d’authentification qui maintiennent la session ouverte. Ces clés survivent aux redémarrages et aux changements de réseau, sauf révocation manuelle. Des cybercriminels ont construit un outil pour les copier et les transmettre via l’API Telegram. La victime ne reçoit ni alerte, ni code de vérification.
Flare a découvert le script sur Pastebin, hébergé sous le titre « Windows Telemetry Update ». Dès son exécution, le script collecte le nom d’utilisateur, le nom de la machine et l’adresse IP publique de la victime. Il vérifie ensuite la présence de Telegram Desktop, force la fermeture de l’application pour libérer le verrou sur les fichiers, puis compresse l’intégralité du dossier tdata dans une archive nommée diag.zip. L’archive part vers l’attaquant via l’API du bot Telegram, et le script la supprime ensuite du disque pour effacer toute trace.
Sur Pastebin, une première version qui circulait n'arrivait pas à envoyer le fichier au bot, faute d’une implémentation correcte du format multipart requis par l’API. L’auteur a corrigé ce défaut dans la seconde version, preuve d’une phase de débogage active plutôt que d'un outil déjà déployé. Les analyses de Flare n’ont relevé aucune exfiltration réelle de données vers des victimes. L'auteur avait baptisé son bot afhbhfsdvfh_bot et lui avait attribué comme description : Telegram attacker. On ne peut plus clair.
Par ailleurs, les chercheurs ont trouvé dans l’historique du bot la trace d'un second outil, distinct du script PowerShell. Celui-là cible Telegram Web plutôt que l'application desktop : il extrait depuis le stockage local du navigateur les clés MTProto, l’équivalent côté web des clés contenues dans tdata. L'attaquant a configuré les deux outils pour qu’ils transitent par le même bot Telegram, mais leurs architectures techniques ne se recoupent pas.
Si ce type de script s’exécute sur un ordinateur, l’attaquant dispose d’une fenêtre de 24 heures avant que Telegram révoque automatiquement la session volée. Pendant ces 24 heures, l’utilisateur peut encore expulser l’intrus :
Paramètres → Appareils → Terminer toutes les autres sessions coupe immédiatement toutes les connexions actives.
Après avoir activé la révocation, la vérification en deux étapes bloque toute tentative de l'attaquant de réutiliser les clés volées. Telegram propose deux options :
Paramètres → Confidentialité et sécurité : un mot de passe cloud classique, ou les passkeys, un système sans mot de passe adossé aux mécanismes biométriques de l’appareil. Les passkeys résistent au phishing par nature, car une clé générée pour Telegram ne fonctionne pas sur un site imitateur.
Hélas, il suffit toujours d’un téléchargement pour introduire le script : un fichier reçu sur un canal Telegram, une pièce jointe d’e-mail, un installateur récupéré sur un site tiers.