🗓️ Contexte
Article publié le 2 avril 2026 par 404 Media, basé sur les conclusions de plusieurs chercheurs en sécurité ayant analysé l’application TeleGuard, une messagerie se revendiquant sécurisée, chiffrée de bout en bout et « Swiss made », téléchargée plus d’un million de fois.
🧩 Contexte TeleGuard, application de messagerie chiffrée développée par la société suisse Swisscows et téléchargée plus d’un million de fois, se présente comme une solution end-to-end encrypted, Swiss made, sans stockage de données. Des chercheurs en sécurité anonymes ainsi que la société Trail of Bits ont identifié plusieurs défauts cryptographiques majeurs rendant le chiffrement inefficace. Ni TeleGuard ni Swisscows n’ont répondu aux demandes de commentaires.
🔍 Vulnérabilités identifiées
- Upload de la clé privée vers les serveurs de TeleGuard Lors de l’enregistrement du compte, l’application transmet une version chiffrée de la clé privée de l’utilisateur au serveur. Cependant, les éléments permettant de la déchiffrer sont également transmis :
Identifiant unique de l’utilisateur (uploadé avec la clé) Salt hardcodé (devrait être aléatoire, est ici constant) Nonce hardcodé (devrait être unique par communication, est ici constant)
➡️ Le serveur dispose de tous les éléments pour déchiffrer la clé privée de chaque utilisateur. 2. Clé privée récupérable via l’API En fournissant simplement l’identifiant utilisateur à l’API de TeleGuard, il est possible de récupérer la clé privée chiffrée correspondante. De nombreux utilisateurs partagent publiquement leur ID pour être contactés, les exposant directement à cette attaque. 3. Extraction partielle de clé par interception de trafic Trail of Bits a démontré qu’il est possible d’extraire partiellement la clé privée en interceptant le trafic réseau de l’application. La clé faiblement chiffrée a ensuite été déchiffrée avec succès à partir de cette capture. 4. Métadonnées en clair Les métadonnées des messages (horodatage, expéditeur, destinataire) transitent en plaintext, potentiellement exposables à des attaquants.
🧪 Validation indépendante Dan Guido, CEO de Trail of Bits, confirme les conclusions initiales et qualifie le chiffrement de TeleGuard de « sans signification » (meaningless) au vu de l’upload des clés privées et de la capacité serveur à les déchiffrer.
⚖️ Contexte judiciaire et usage
L’application a été utilisée par des abuseurs d’enfants, qualifiée de « notoire » par des procureurs selon un média local Le FBI a obtenu des données sur un utilisateur TeleGuard via des push notifications transmises à Google, ayant permis d’identifier des adresses email liées à un pédophile présumé (source : Washington Post) L’app a été recommandée dans des communautés de cam models comme outil de communication
📌 Nature de l’article Publication de recherche / article de presse spécialisée révélant des défauts cryptographiques critiques dans une application de messagerie présentée comme sécurisée, avec validation indépendante par Trail of Bits et absence de réponse du développeur.
TTP
- T1040 — Network Sniffing (Credential Access)
- T1552 — Unsecured Credentials (Credential Access)
🔗 Source originale : https://www.404media.co/a-secure-chat-apps-encryption-is-so-bad-it-is-meaningless/