L’application Windows du populaire messager Telegram contient dans son code Source une liste d’extensions de fichiers pour lesquelles un avertissement de sécurité est émis lorsque l’on clique sur un tel fichier. Par exemple, les fichiers exécutables Windows, pour lesquels l’application Telegram Windows émet l’avertissement suivant : « Ce fichier a l’extension .exe. Cela pourrait endommager votre ordinateur. Etes-vous sûr de vouloir qu’il s’exécute ?
Une telle boîte de dialogue devrait également apparaître pour les scripts exécutables dans le langage de programmation Python avec l’extension .pyzw. Cependant, une faute de frappe (« .pywz » au lieu de « .pyzw ») signifiait qu’aucun avertissement n’apparaissait pour les archives zip Python, mais que le code était exécuté directement après avoir cliqué sur un lien, à condition qu’un interpréteur Python soit disponible sur le système Windows. Si un tel script Python est désormais obscurci avec le type de fichier « video/mp4 », par exemple, l’exécutable apparaîtra sous forme de vidéo dans Telegram Messenger.
Une solution de contournement côté serveur est déjà disponible
Dans une déclaration à Bleeping Computer, les développeurs de Telegram ont déclaré : « Il y a eu […] un problème dans Telegram Desktop où l’utilisateur devait cliquer sur un fichier malveillant alors que l’interpréteur Python était installé sur son ordinateur. Contrairement aux rapports précédents, il ne s’agissait pas d’une vulnérabilité sans clic qui ne pouvait affecter qu’une infime partie de nos utilisateurs : moins de 0,01 % de nos utilisateurs ont installé Python et utilisent la version correspondante de Telegram for Desktop ».
La faute de frappe dans le code Source sur GitHub a déjà été corrigée par l’équipe Telegram, mais une application Windows mise à jour avec le code corrigé n’est pas encore disponible. Cependant, les développeurs de la messagerie Telegram ont également implémenté un correctif côté serveur, ce qui signifie que les archives de script Python ne seront plus exécutées directement sur Windows, même dans les anciennes versions avec le bug dans le code, mais qu’un avertissement s’affichera comme suit : pour les fichiers EXE.
