La semaine dernière, Nothing a annoncé une toute nouvelle application de chat, Nothing Chats, qui apporte effectivement une version d’iMessage d’Apple à Android. De cette façon, vous n’envoyez pas de messages ni de fichiers via les anciens systèmes SMS et MMS non sécurisés. Malheureusement, Nothing a maintenant retiré l’application de Google Play, et cela est apparemment dû à de sérieux problèmes de sécurité.
Nothing Chats ne fonctionne pas et le processus nécessite que vous laissiez Sunbird se connecter à votre compte iCloud à partir de ses serveurs, prétendument alimentés par un Mac Mini. Ce qui est déjà assez sommaire, mais c’est pire que cela. Selon un rapport de Textes.com, il s’avère que les messages Songbird ne sont pas cryptés de bout en bout. Apparemment, il n’est pas non plus si difficile de compromettre le système.
9to5Google a remarqué que le propriétaire du site, Dylan Roussel, était entré beaucoup plus dans les détails sur un Twitter/X fil de discussion.
L’heure du fil !Résumé :- Sunbird a accès à tous les messages envoyés et reçus via l’application sur votre appareil.- Tous les documents (images, vidéos, audios, PDF, vCards…) envoyés via Nothing Chat ET Sunbird sont publics. – Nothing Chats n’est pas crypté de bout en bout.18 novembre 2023
Roussel affirme que Sunbird fonctionne en déchiffrant et en transmettant des messages via HTTP à un serveur de synchronisation cloud Firebase et en les stockant en texte brut non crypté. Il a noté que Sunbird a également accès à ces messages, puisqu’ils sont enregistrés comme erreurs par le service de débogage Sentry.
Sunbird aurait affirmé que la transmission via HTTP était acceptable, car elle n’était utilisée que dans le cadre de la requête initiale. Roussel note que cela continue de divulguer les adresses e-mail des utilisateurs. Cela ne change toujours pas le fait que les messages Sunbird sont visibles publiquement via la base de données en temps réel Firebase, et non cryptés.
La FAQ de Nothing affirme que le système Sunbird est sécurisé et crypté de bout en bout, tout en indiquant également que les messages et les informations d’identification Apple ne sont stockés à aucun moment de son parcours. Selon Roussel, c’est exactement le contraire qui semble être vrai.
L’un des principaux avantages d’iMessage est qu’il est chiffré de bout en bout par défaut. Apple a également cité une sécurité supplémentaire comme l’une des raisons pour lesquelles elle adoptera la norme de messagerie RCS l’année prochaine. Dans les deux cas, vos messages sont sécurisés et inaccessibles aux tiers, y compris Apple.
Donc, si vous devez communiquer de manière hilarante et peu sécurisée, vous pouvez tout aussi bien vous en tenir à l’option SMS traditionnelle. Au moins, cela ne vous demande pas de vous connecter à un serveur tiers avec vos informations d’identification Apple.
La page officielle de Nothing Chats confirme que l’application bêta a maintenant été retirée du Play Store, le lancement étant retardé jusqu’à ce que Nothing et Sunbird puissent corriger « plusieurs bugs ».
Lorsqu’on lui a demandé un commentaire, un porte-parole de Nothing a déclaré : « Nous avons supprimé la version bêta de Nothing Chats du Play Store et retarderons le lancement jusqu’à nouvel ordre pour travailler avec Sunbird pour corriger plusieurs bugs. Nous nous excusons pour le retard et ferons ce qui est bien pour nos utilisateurs.
En attendant, votre rêve de vous cacher en tant qu’utilisateur Apple aux bulles bleues sans acheter d’iPhone ne se réalisera pas de si tôt. Et compte tenu de tout ce qui a été révélé, c’est probablement quelque chose que vous devriez essayer d’éviter.