Le problème : pour les appels téléphoniques, Telegram utilise une connexion peer-to-peer entre les deux appelants. Les deux appareils doivent donc connaître l'IP de l'autre. Si la personne n'est pas sur votre liste de contacts, tout va bien : l'appel est routé via des serveurs Telegram, ce qui cache l'IP des utilisateurs finaux. Si en revanche votre interlocuteur est dans vos contacts, les paramètres par défaut autorisent son appareil à connaître l'IP du votre. Il y a moyen de changer ce paramètre, mais encore faut-il être au courant de son existence...
Comme preuve de concept, Denis Simonov, chercheur en cybersécurité connu sous le nom de n0a, a mis au point un script simple (en lien dans l'article) qui permet de récupérer l'IP captée par son appareil. Il démontre ainsi que cette vulnérabilité, connue depuis 2018, est toujours d'actualité, et qu'elle ne se limite pas aux appels depuis un ordinateur.
Skype et WhatsApp ont été également épinglés pour fuite de metadata en leur temps, mais eux ont apporté des correctifs alors que Telegram persiste à affirmer que c'est ainsi que leur messagerie doit fonctionner.
En termes de confidentialité, Telegram est fautif sur d'autres points connus depuis longtemps, comme le fait de devoir modifier les paramètres pour obtenir un chiffrement de bout-en-bout, ou la possibilité d'extraire des informations sur l'identité des utilisateurices des groupes et des channels.
Un article de Lorenzo Franceschi-Bicchierai dans TechCrunch :
https://techcrunch.com/2023/10/19/telegram-is-still-leaking-user-ip-addresses-to-contacts/?guccounter=1
