Quelques jours après que l’équipe de Beeper a fièrement annoncé un moyen permettant aux utilisateurs d’envoyer des iMessages à bulles bleues directement depuis leurs appareils Android sans aucun serveur de relais étrange, et environ 24 heures après qu’il soit devenu clair qu’Apple avait pris des mesures pour arrêter cela, Apple a a partagé son point de vue sur la question.
La position de l’entreprise ici est assez prévisible : elle affirme qu’elle essaie simplement de faire le bien aux utilisateurs et de protéger la confidentialité et la sécurité de leurs iMessages. « Nous avons pris des mesures pour protéger nos utilisateurs en bloquant les techniques qui exploitent de fausses informations d’identification afin d’accéder à iMessage », a déclaré Nadine Haija, responsable des relations publiques d’Apple, dans un communiqué.
Voici la déclaration dans son intégralité :
Chez Apple, nous construisons nos produits et services avec des technologies de confidentialité et de sécurité de pointe conçues pour permettre aux utilisateurs de contrôler leurs données et de protéger leurs informations personnelles. Nous avons pris des mesures pour protéger nos utilisateurs en bloquant les techniques qui exploitent de fausses informations d’identification afin d’accéder à iMessage. Ces techniques présentaient des risques importants pour la sécurité et la confidentialité des utilisateurs, notamment la possibilité d’exposer des métadonnées et de permettre des messages indésirables, du spam et des attaques de phishing. Nous continuerons à effectuer des mises à jour à l’avenir pour protéger nos utilisateurs.
Cette déclaration suggère plusieurs choses. Premièrement, Apple a en fait fermé Beeper Mini, qui utilise un service personnalisé pour se connecter à iMessage via le propre service de notification push d’Apple – tous les messages iMessage transitent via ce protocole, que Beeper intercepte et transmet efficacement à votre appareil. Pour ce faire, Beeper a dû convaincre les serveurs d’Apple qu’il envoyait une requête ping aux protocoles de notification à partir d’un véritable appareil Apple, alors que ce n’était évidemment pas le cas. (Ce sont les « fausses informations d’identification » dont parle Apple. Quinn Nelson de Snazzy Labs j’ai fait une bonne vidéo sur la façon dont tout cela fonctionne.)
Beeper affirme que son processus fonctionne sans compromettre votre cryptage ou votre confidentialité ; la documentation de l’entreprise indique que personne d’autre que vous ne peut lire le contenu de vos messages. Mais Apple ne peut pas le vérifier et affirme que cela présente des risques pour les utilisateurs et les personnes avec lesquelles ils discutent.
« Ces techniques présentaient des risques importants pour la sécurité et la confidentialité des utilisateurs »
Évidemment, il y a aussi une vision beaucoup plus vaste ici. Apple a clairement indiqué à plusieurs reprises qu’il ne souhaitait pas intégrer iMessage sur Android : « achetez un iPhone à votre mère », a déclaré le PDG Tim Cook à un intervenant lors de la Code Conference, qui souhaitait une meilleure façon d’envoyer des messages à sa mère qui porte Android, et le Les dirigeants de l’entreprise ont débattu des versions d’Android dans le passé, mais ont décidé que cela cannibaliserait les ventes d’iPhone. Apple a récemment annoncé qu’il adopterait le protocole de messagerie multiplateforme RCS, mais nous ne savons pas encore exactement à quoi cela ressemblera – et vous pouvez être sûr qu’Apple cherchera toujours à améliorer la vie des utilisateurs natifs d’iMessage.
La déclaration d’Apple arrive à un moment intéressant. Beeper existe depuis quelques années et ses efforts antérieurs pour intercepter iMessage étaient en réalité beaucoup plus problématiques du point de vue de la sécurité. Beeper et des applications comme Sunbird (qui ont récemment travaillé avec Nothing pour amener iMessage sur Android) faisaient simplement passer votre trafic iMessage via un Mac Mini dans un rack de serveur quelque part, ce qui rendait vos messages beaucoup plus vulnérables. Mais Beeper Mini exploitait directement le protocole iMessage, ce qui a clairement incité Apple à renforcer ses mesures de sécurité.
Depuis qu’Apple a supprimé Beeper Mini, Beeper a travaillé fébrilement pour le remettre en marche. Samedi, la société a déclaré qu’iMessage fonctionnait à nouveau dans l’application originale Beeper Cloud, mais Beeper Mini ne fonctionnait toujours pas. Le fondateur Eric Migicovsky a déclaré vendredi qu’il ne comprenait tout simplement pas pourquoi Apple bloquerait son application : « si Apple se soucie vraiment de la confidentialité et de la sécurité de ses propres utilisateurs d’iPhone, pourquoi arrêteraient-ils un service qui permet désormais à leurs propres utilisateurs d’envoyer des SMS ? des messages cryptés aux utilisateurs d’Android, plutôt que d’utiliser des SMS non sécurisés ? »
Migicovsky affirme maintenant que sa position n’a pas changé, même après avoir entendu la déclaration d’Apple. Il dit qu’il serait heureux de partager le code de Beeper avec Apple pour un examen de sécurité, afin qu’il puisse être sûr des pratiques de sécurité de Beeper. Puis il s’arrête. « Mais je rejette toute cette prémisse ! Parce que notre position de départ est que les utilisateurs d’iPhone ne peuvent pas parler aux utilisateurs d’Android sauf via des messages non cryptés.
L’argument de Beeper est que les SMS sont si fondamentalement peu sûrs que pratiquement toute autre solution constituerait une amélioration. Quand je dis que le souci d’Apple est peut-être que les utilisateurs d’iPhone envoient soudainement leurs messages à bulles bleues soi-disant réservés à Apple via une société – Beeper – dont ils ne connaissent pas l’existence, Migicovsky y réfléchit une seconde. « C’est juste », dit-il, et propose une solution : peut-être que chaque message envoyé via Beeper devrait être précédé d’un emoji de téléavertisseur, afin que les gens sachent de quoi il s’agit. Si cela peut résoudre le problème, dit-il, cela pourrait être fait en quelques heures.
Lorsque je demande à Migicovsky s’il est prêt à se battre avec l’équipe de sécurité d’Apple dans un avenir proche, il répond que le fait que Beeper Cloud fonctionne toujours est un signal qu’Apple ne peut pas ou ne veut pas le garder à l’écart pour toujours. (Il dit également que l’équipe de Beeper a encore quelques idées pour Beeper Mini.) Au-delà de cela, il espère que le tribunal de l’opinion publique finira par convaincre Apple de jouer gentiment de toute façon. « Ce que nous avons construit est bon pour le monde », dit-il. « C’est quelque chose dont nous pouvons presque tous convenir qu’il devrait exister. »
Au sein d’Apple, au moins cet argument semble susceptible de tomber dans l’oreille d’un sourd. La société a gardé iMessage étroitement contrôlé et soigneusement sécurisé pendant des années, et il est peu probable qu’elle lâche les rênes maintenant. Et si Beeper parvient à faire fonctionner Beeper Mini à nouveau, il est destiné à un jeu sans fin du chat et de la souris essayant de garder une longueur d’avance sur la sécurité d’Apple. Et Apple a clairement indiqué son intention de gagner ce jeu, peu importe à quel point vous souhaitez envoyer des iMessages à partir d’un téléphone Android.
Mise à jour le 9 décembre à 20h30 : ajout d’un commentaire d’Eric Migicovsky de Beeper.