Depuis son lancement en août 2013, Telegram est devenue l’application de messagerie de référence pour les utilisateurs soucieux de la protection de leur vie privée. Pour commencer à utiliser l’application, les utilisateurs peuvent s’inscrire en utilisant soit leur véritable numéro de téléphone, soit un numéro anonyme acheté sur la marketplace blockchain Fragment. Dans ce dernier cas, Telegram ne peut pas être relié au numéro de téléphone réel de l’utilisateur ni à aucune autre information personnelle identifiable (PII).
Telegram est également connu depuis longtemps pour sa politique de modération non interventionniste. La plateforme avait explicitement indiqué dans sa FAQ que les discussions privées étaient totalement interdites à la modération. La modération du contenu était donc principalement assurée par les utilisateurs, auxquels il incombait de signaler les activités illicites. En revanche, nombre de ses concurrents, comme WhatsApp, investissent massivement dans la modération du contenu et la coopération avec les forces de l’ordre.
Ces caractéristiques ont également fait de Telegram l’application de messagerie de prédilection pour la cybercriminalité et d’autres activités illégales. Cela inclut la distribution de logiciels malveillants, la vente de biens et services illégaux, le recrutement d’associés et la coordination des cyberattaques. Pour les groupes de cybercriminalité plus organisés, Telegram est un centre de partage de renseignements opérationnels et d’amplification des activités illicites, un peu comme le font les entreprises légitimes sur les canaux traditionnels.
Cependant, l’approche de Telegram en matière de confidentialité des utilisateurs et de modération de contenu a considérablement changé après l’arrestation du PDG Pavel Durov en France le 24 août 2024, l’entreprise ayant discrètement modifié sa page FAQ et sa politique de confidentialité dans les semaines suivantes. Bien que le code source de l’application n’ait pas changé, selon le porte-parole de Telegram, Remy Vaughn, les utilisateurs peuvent désormais signaler toute activité illégale pour un retrait automatique ou une modération manuelle. En outre, Telegram a également mis à jour sa politique de confidentialité, indiquant que, dès réception d’une ordonnance judiciaire valide, la plateforme divulguera les numéros de téléphone et les adresses IP des utilisateurs.
Newsletter sectorielle
Restez au fait des tendances les plus étonnantes du secteur dans le domaine de l’IA, de l’automatisation, des données et bien d’autres avec la newsletter Think. Consultez la déclaration de confidentialité d’IBM.
Lire la Déclaration de confidentialité d’IBM.
Vous recevrez votre abonnement en anglais. Vous trouverez un lien de désabonnement dans chaque newsletter. Vous pouvez gérer vos abonnements ou vous désabonner ici. Consultez la Déclaration de confidentialité d’IBM pour plus d’informations.
Bien que ces changements constituent sans doute un pas dans la bonne direction pour les forces de l’ordre, ils entraînent également une migration des activités de cybercriminalité vers d’autres plateformes, telles que Signal ou Session. Un syndicat de cybercriminalité, connu sous le nom de gang de ransomware Bl00dy, a publiquement déclaré qu’il quittait Telegram à la suite du changement de politique de l’entreprise. De nombreux groupes d’hacktivistes ont également suivi le mouvement, tout comme les utilisateurs légitimes qui utilisent Telegram pour garantir la liberté d’expression dans les régimes oppressifs.
Malheureusement, on peut également considérer ces changements de politique comme un simple déplacement des activités illégales, la cybercriminalité se fragmentant sur un éventail de plus en plus large de plateformes. Il peut ainsi être plus difficile pour les forces de l’ordre et les analystes de la cybersécurité de suivre et de perturber les acteurs de la menace. Par exemple, les équipes rouges peuvent avoir plus de difficultés à accéder à ces communautés souterraines pour identifier et atténuer les menaces avant qu’elles ne causent de réels dégâts.
Telegram est depuis longtemps une source importante de renseignements sur les menaces, de nombreux canaux publics étant utilisés pour organiser des activités cybercriminelles. Si les conversations privées sont, pour la plupart, totalement interdites aux analystes des menaces et aux forces de l’ordre, des politiques de modération plus strictes ont également été appliquées aux canaux publics, ce qui pourrait permettre de démasquer plus facilement les criminels. Cependant, même si peu de gens diront que c’est une mauvaise chose en principe, il y a quand même un hic : les criminels pourraient simplement aller ailleurs.
L’aspect peut-être encore plus inquiétant est le risque accru de voir les cybercriminels et les hacktivistes se tourner vers la cybercriminalité et le cyberespionnage commandités par des États. Cela augmente également la probabilité que des acteurs malveillants utilisent des plateformes entièrement chiffrées et décentralisées, encore moins contrôlées que Telegram ne l’a jamais été. Cela pourrait compliquer la tâche des équipes rouges chargées de simuler des attaques ou de surveiller ces communautés, réduisant ainsi leur capacité à détecter les menaces précocement.
Rien de tout cela ne signifie nécessairement qu’il y aura un exode massif des activités cybercriminelles de Telegram. Après tout, avec environ 900 millions d’utilisateurs mensuels, selon les propres données de Telegram, la plateforme dispose toujours de l’audience massive dont les opérations cybercriminelles à grande échelle, comme le Malware-as-a-Service, ont besoin pour étendre leur portée.
De plus, les nouveaux utilisateurs peuvent toujours s’inscrire anonymement en utilisant un numéro acheté sur la blockchain Fragment, auquel cas la promesse de Telegram de se conformer à une demande des forces de l’ordre concernant le numéro d’un utilisateur devient sans objet. Cela dit, Telegram pourra toujours partager les adresses IP, qui pourraient encore être utilisées pour suivre l’activité d’un utilisateur.
Tous les responsables de la sécurité le savent, l’environnement des menaces évolue sans cesse et se complexifie à mesure que les opérations cybercriminelles se fragmentent sur toutes les plateformes. De nombreux outils et stratégies de surveillance des menaces peinent à suivre le rythme, offrant ainsi une couverture limitée, voire inexistante, pour les plateformes autres que Telegram. L’essor continu des plateformes décentralisées et open source ne fera que compliquer davantage la traque des menaces et l’analyse. Par ailleurs, des États rivaux développent leurs propres plateformes de cyberespionnage et de cybercriminalité d’État.
Il est plus que jamais crucial d’adopter une approche proactive en matière de cybersécurité, une approche qui englobe toutes les plateformes et qui permette de prioriser l’attribution des menaces à partir de multiples sources de données. Cela implique de combiner l’expertise humaine et des outils d’analyse des menaces avancés afin d’accéder à des renseignements provenant de canaux qui, autrement, resteraient inaccessibles.
Les renseignements sur les menaces alimentés par l’IA offre un complément puissant à l’expertise et aux informations des analystes de sécurité talentueux. Par exemple, la stylométrie, qui examine les caractéristiques linguistiques pour créer un profil unique du style d’écriture d’un utilisateur, peut aider à identifier les cybercriminels et à détecter les menaces internes, quelle que soit la plateforme utilisée. L’IA contribue à rendre cela possible à une échelle que les analystes humains seuls ne peuvent espérer atteindre.
Même si les cybercriminels se tournent vers un nombre croissant de plateformes, leurs comportements révèlent des schémas récurrents. Grâce à la possibilité de suivre leurs activités, telles que le moment de certaines publications et les styles d’interaction, les analystes peuvent établir des profils complets qui les aident à relier les opérations et les individus sur différentes plateformes.
Bien qu’il soit de plus en plus difficile, voire impossible, de suivre des points de données comme les métadonnées transactionnelles ou l’historique des transactions en cryptomonnaies, les outils d’analyse comportementale alimentés par l’IA peuvent contribuer à combler cette lacune en aidant les analystes humains à identifier les acteurs de la menace et leurs vecteurs d’attaque. Cet aspect va prendre de l’importance à mesure que la cybercriminalité se disperse sur différentes plateformes et que les analystes de sécurité s’efforcent de maintenir une visibilité sur la prochaine génération de cybermenaces.