La version Desktop de Telegram a le même problème que celle de Signal : les conversations et médias échangés sont stockés en clair sur le disque local de l’ordinateur. Il est en outre très simple de les retrouver.

On doit la découverte à l’étudiant Nathaniel Suchy. Les informations ne sont pas aussi simples à lire que pour Signal, sans présenter de vraie difficulté non plus. Elles sont stockées dans une base SQLite et ne sont pas chiffrées.

Telegram propose une protection par mot de passe pour son application de bureau, mais elle n’affecte en rien le stockage local. Si un utilisateur malintentionné parvient à y accéder, il pourra extraire les contacts, leurs numéros, les conversations et le reste. Les photos, vidéos, documents et autres ne sont que masqués, et il suffit de changer leur extension pour les lire.

L’approche de Telegram pour la sécurité locale est donc la même que pour Signal : si l’utilisateur souhaite un chiffrement, il doit l’activer pour sa partition ou son disque à l’aide d’outils fournis par le système (BitLocker pour Windows, FileVault pour macOS, etc.) ou tiers, comme VeraCrypt.