Ron Amédéo
Il s’avère que les entreprises qui bloquent les questions de sécurité des médias ne sont en réalité pas bonnes en matière de sécurité. Mardi dernier, Nothing Chats, une application de chat du fabricant Android « Nothing » et de la nouvelle société d’applications Sunbird, a prétendu effrontément être capable de pirater le protocole iMessage d’Apple et de donner des bulles bleues aux utilisateurs d’Android. Nous avons immédiatement signalé à Sunbird une entreprise qui faisait des promesses creuses depuis près d’un an et qui semblait négligente en matière de sécurité. L’application a quand même été lancée vendredi et a été immédiatement réduite en lambeaux par Internet pour de nombreux problèmes de sécurité. Cela n’a pas duré 24 heures ; Rien n’a retiré l’application du Play Store samedi matin. L’application Sunbird, dont Nothing Chat n’est qu’un reskin, a également été mise « en pause ».
L’argumentaire de vente initial de cette application – selon lequel elle vous connecterait à iMessage sur Android si vous communiquiez votre nom d’utilisateur et votre mot de passe Apple – était un énorme signal d’alarme en matière de sécurité qui signifiait que Sunbird aurait besoin d’une infrastructure ultra-sécurisée pour éviter un désastre. Au lieu de cela, l’application s’est avérée aussi peu sécurisée que prévu. Voici la déclaration de Nothing :
Rien Le message de Chat est fermé.
À quel point les problèmes de sécurité sont-ils graves ? 9to5Google et Texts.com (qui appartient à Automattic, la société derrière WordPress) ont découvert des pratiques de sécurité extrêmement mauvaises. Non seulement l’application n’était pas chiffrée de bout en bout, comme le prétendaient à plusieurs reprises Nothing et Sunbird, mais Sunbird enregistrait et stockait les messages en texte brut sur le logiciel de rapport d’erreurs Sentry. et dans un magasin Firebase. Les jetons d’authentification ont été envoyés via HTTP non chiffré afin que ce jeton puisse être intercepté et utilisé pour lire vos messages.
L’enquête de Texts.com a révélé un tas de vulnérabilités. Le blog indique : « Lorsqu’un message ou une pièce jointe est reçu par un utilisateur, ils sont non chiffrés côté serveur jusqu’à ce que le client envoie une demande pour en accuser réception et les supprimer de la base de données. Cela signifie qu’un attaquant s’est abonné à la base de données Firebase Realtime. pourra toujours accéder aux messages avant ou au moment où ils sont lus par l’utilisateur. » Texts.com a pu intercepter un jeton d’authentification envoyé via HTTP non chiffré et s’abonner aux modifications apportées à la base de données. Cela signifiait des mises à jour en direct des « messages entrants, sortants, modifications de compte, etc. » non seulement d’eux-mêmes, mais également d’autres utilisateurs.
Texts.com a publié une application de validation de principe capable de récupérer vos messages soi-disant cryptés de bout en bout sur les serveurs de Sunbird. Batuhan Içöz, ingénieur produit pour Texts.com, a également publié un outil qui supprimera certaines de vos données des serveurs de Sunbird. Içöz recommande à tous les utilisateurs de Sunbird/Nothing Chat de changer leur mot de passe Apple maintenant, de révoquer la session de Sunbird et de « supposer que vos données sont déjà compromises ».
9to5Google Dylan Roussel a enquêté sur l’application et a découvert qu’en plus de toutes les données textuelles publiques, « Tous les documents (images, vidéos, audios, PDF, vCards…) envoyés via Nothing Chat ET Sunbird sont publics. » Roussel a découvert que 630 000 fichiers multimédias sont actuellement stockés par Sunbird et qu’il pourrait apparemment y accéder. L’application de Sunbird suggère aux utilisateurs de transférer des vCards (des cartes de visite virtuelles remplies de données de contact) et Roussel affirme que les informations personnelles de plus de 2 300 utilisateurs sont accessibles. Roussel qualifie ce fiasco de « probablement le plus grand ‘cauchemar en matière de confidentialité’ que j’ai vu chez un fabricant de téléphones depuis des années ».