Une campagne de phishing sur Telegram monte d’un cran. Elle ne casse rien et n’imite pas l’app, elle manipule l’authentification officielle jusqu’à obtenir une connexion « validée » par la victime.
Une nouvelle opération d’hameçonnage vise des utilisateurs Telegram à l’échelle mondiale avec une mécanique redoutablement propre. Les attaquants ne compromettent pas la messagerie et ne reproduisent pas son interface. Ils s’appuient sur les mécanismes légitimes d’authentification, en enregistrant leurs propres identifiants développeur, api_id et api_hash, puis en lançant de vraies tentatives de connexion via l’infrastructure officielle de Telegram. Deux variantes ont été observées. La première mise sur un QR code « façon Telegram » qui déclenche une session valide, mais côté attaquant. La seconde fait saisir numéro, code OTP et parfois 2FA, immédiatement relayés vers l’API Telegram. Le piège final est la confirmation « C’est moi« .
Une authentification légitime transformée en arme
Le cœur de la campagne repose sur une idée simple, utiliser la voie officielle de la messagerie sécurisée Telegram plutôt que chercher une faille. Les attaquants créent leurs propres clés d’accès à l’API Telegram, api_id et api_hash, puis s’en servent pour initier une connexion réelle, comme le ferait un service autorisé. Ce détail change tout côté défense, le trafic ressemble à une utilisation normale, car il l’est.
Deux scénarios proches [à découvrir dans notre animation], qui divergent surtout sur la manière d’amener la victime à fournir l’accès. Dans le premier,comme le montre la capture écran de ZATAZ, l’utilisateur arrive sur une page d’hameçonnage où s’affiche un code QR présenté comme un moyen standard de connexion Telegram. Une fois scanné, une session se lance bien dans l’application mobile, mais la session active est en réalité ouverte du côté de l’attaquant. Autrement dit, le QR code sert de pont, il déclenche une authentification effective, mais pas au bénéfice de celui qui le scanne.
SERVICE DE VEILLE ZATAZAlerte : savoir si vos données personnelles ont fuité.
À partir de 0,06 € / jour
Activation rapide • Alertes prioritaires • Veille web, dark web
Sans prestataire extérieur • 100 % souverain
Le clic “C’est moi”, point de bascule social et opérationnel
Le moment décisif arrive « plus tard », et c’est précisément ce décalage qui rend la manœuvre efficace. Comme prévu par le fonctionnement normal de Telegram, l’utilisateur reçoit une notification système dans l’application, lui demandant de confirmer une connexion depuis un nouvel appareil. C’est une protection, mais elle devient l’outil de l’attaquant.
Dès l’entrée sur le site piégé, l’utilisateur est conditionné. La page présente l’opération comme un contrôle de sécurité ou une vérification obligatoire. Ce cadrage prépare le geste final, valider la demande. La notification Telegram arrive alors comme une étape logique du processus, et non comme une alerte. La victime clique sur « C’est moi » et, en une action, autorise officiellement l’accès à son compte. La session qui en résulte est parfaitement légitime, puisque validée par le propriétaire. C’est toute la subtilité, l’attaquant ne force pas la porte, il obtient la clé et fait tourner la serrure selon la procédure.
Le « backend » est centralisé et l’infrastructure peut changer rapidement, notamment via des domaines remplaçables sans modification de la logique d’attaque. Cette agilité complique la détection et le blocage, car la surface visible, les domaines, bouge vite alors que le cœur technique reste stable. De nombreux domaines usurpateurs ont été enregistrés, dont des domaines Telegram typosquattés » : teleramm ; telegramm ; etc.
Une fois le compte pris, l’usage est tout aussi méthodique. Les attaquants s’en servent pour expédier des liens d’hameçonnage aux contacts de la victime. L’intérêt est double, accélérer la propagation et bénéficier de la confiance implicite accordée à un compte connu. L’attaque devient alors une contagion sociale, où chaque compte compromis sert de relais, avec une crédibilité native que les filtres et les utilisateurs ont du mal à contester.
Dans cette affaire, la menace relève moins d’un piratage que d’une opération de persuasion adossée à une authentification irréprochable, un signal fort pour la cyber intelligence sur la façon dont les protections deviennent des leviers.
News & Réseaux Sociaux ZATAZChaque vendredi midi, recevez gratuitement les actualités de la semaine.
