Faille Telegram : jusqu’à 4 millions de dollars offerts pour une faille zero-day

Posted On 25 Mar 2025

La société Operation Zero, spécialisée dans l’acquisition et la vente de failles de sécurité zero-day pour le gouvernement russe et des entreprises locales, a récemment annoncé une offre de rachat d’exploits visant spécifiquement le messager Telegram. ZATAZ a repéré que la société propose jusqu’à 4 millions de dollars pour une chaîne d’exploits complète permettant de compromettre à la fois un compte Telegram et le système d’exploitation de l’appareil cible.

Une offre ciblée et une stratégie claire

Operation Zero a publié une annonce détaillant les montants proposés en fonction du type de vulnérabilité découverte dans Telegram. La société est prête à offrir jusqu’à 500 000 dollars pour un exploit de type one-click permettant une exécution de code à distance (RCE) après une seule interaction de l’utilisateur, comme le clic sur un lien ou l’ouverture d’un fichier.

Jusqu’à 1,5 million de dollars pour un exploit de type zero-click, qui permet de compromettre l’appareil (comme la faille ayant visé WhatsApp) sans aucune interaction de l’utilisateur.

Jusqu’à 4 millions de dollars pour une chaîne d’exploits complète combinant plusieurs vulnérabilités, permettant de passer de la compromission d’un compte Telegram à la prise de contrôle totale du système d’exploitation de l’appareil.

Cette échelle de prix place Telegram parmi les cibles prioritaires pour les courtiers en vulnérabilités du marché russe. Un exploit zero-click est particulièrement recherché en raison de sa capacité à contourner les systèmes de sécurité sans alerter l’utilisateur. Les exploits one-click, bien que moins complexes, restent extrêmement précieux, notamment pour des opérations ciblées de surveillance ou de cyberespionnage.

Selon TechCrunch, cette annonce reflète une demande directe des autorités russes pour exploiter Telegram, une plateforme extrêmement populaire en Russie et en Ukraine. L’ouverture publique de cette offre suggère que les services de renseignement russes sont disposés à investir des sommes considérables pour obtenir un accès direct à Telegram, connu pour son cryptage de bout en bout et sa réputation de sécurité.

Telegram sous pression, mais confiant

Après la publication de cette annonce par Operation Zero, la direction de Telegram a rapidement réagi. Les représentants de la plateforme ont déclaré au média russe « Kode Durova » que Telegram « n’a jamais été vulnérable à des exploits de type zero-click. » Les responsables de Telegram ont souligné que le code source de l’application est ouvert, et que les protocoles de chiffrement utilisés sont documentés et régulièrement audités par des chercheurs en sécurité indépendants. Cette transparence constitue, selon Telegram, une garantie de sécurité supplémentaire face aux tentatives d’exploitation. « Le fait que des sommes aussi élevées soient proposées pour une vulnérabilité Telegram prouve simplement qu’ils n’ont pas réussi à en découvrir une jusqu’à présent, » a déclaré un porte-parole de Telegram. ZATAZ rappelle que ce type d’annonce peut aussi être un contre-feu (en social engineering je baptise cela stratégie de diversion) sur la possibilité de surveiller facilement Telegram. Si je cherche un 0day pour cette messagerie, c’est que je n’en possède pas et que cette messagerie est parfaitement sécurisée. En cybersécurité, ce stratagème est utilisé quand une entreprise est victime d’un piratage. Elle peut volontairement laisser filtrer une fausse information sur une nouvelle menace pour minimiser l’impact du piratage réel. Elle va annoncer une cyberattaque générale sur le secteur, afin de noyer l’information.

Service de Veille ZATAZ – 96% de satisfaction

Telegram met en avant le fait qu’il s’agit de l’une des rares plateformes de messagerie à offrir une vérification publique de son code source. Cette politique permet aux chercheurs indépendants de signaler d’éventuelles failles et de participer à l’amélioration continue de la sécurité de l’application.

Toutefois, les experts en cybersécurité soulignent que même une plateforme réputée pour sa sécurité reste vulnérable aux attaques zero-day sophistiquées. Un exploit zero-click, en particulier, permettrait d’infiltrer discrètement un appareil sans que l’utilisateur n’ait à effectuer une action. Cette capacité rend ce type d’attaque extrêmement recherché, notamment par les services de renseignement et les groupes de cybercriminalité avancés.

Des prix sous-évalués ?

Selon un expert anonyme cité par TechCrunch, les prix proposés par Operation Zero pour les exploits visant Telegram seraient « légèrement sous-évalués » par rapport à la valeur réelle du marché des exploits zero-day. L’expert suggère qu’Operation Zero pourrait chercher à revendre ces exploits à un prix beaucoup plus élevé après acquisition. La valeur d’un exploit dépend non seulement de sa rareté, mais également de la capacité à le reproduire et de son exclusivité. Si Operation Zero parvient à obtenir un exploit exploitable de manière fiable, la société pourrait revendre cet accès à plusieurs clients, augmentant ainsi la valeur globale de l’exploit, et profiter à des entreprises spécialisées dans les logiciels d’espionnage.

L’intérêt d’Operation Zero pour Telegram s’inscrit dans un contexte géopolitique tendu entre la Russie et l’Ukraine. Telegram est devenu un outil de communication clé pour les militants politiques, les journalistes indépendants et même les autorités officielles en Russie. Le contrôle des communications sur Telegram représente un objectif stratégique majeur pour le Kremlin. La capacité à surveiller ou à infiltrer des canaux Telegram privés pourrait fournir aux services de renseignement russes des informations cruciales sur les activités politiques internes, la mobilisation de la société civile et les échanges entre militants. Ou alors, ils sont capable de le faire et laisse penser du contraire via une stratégie de diversion.

Vous voulez suivre les dernières actualités sur la cybersécurité ? Pour rester informé sur les enjeux de cybersécurité, abonnez-vous à la newsletter de ZATAZ. Rejoignez également notre groupe WhatsApp et nos réseaux sociaux pour accéder à des informations exclusives, des alertes en temps réel et des conseils pratiques pour protéger vos données.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.