iMessage : Sunbird stoppe son app devant ses problèmes de sécurité 🆕
Mise à jour le 21 novembre : Sunbird a décidé d'arrêter le fonctionnement son app qui devait apporter les conversations iMessage sur Android. L'éditeur s'était allié avec le fabricant de smartphones Nothing pour proposer cette fonction. Las, moins de 24h après le lancement de Sunbird, une cascade de défauts de sécurité dans le stockage et le transit des messages ont été constatés.
Nothing a débranché l'app le premier en bloquant ses téléchargements puis Sunbird a fait de même prétextant la nécessité d'étudier les problèmes de sécurité découverts. Le seul message publié a concerné la mise en pause de l'envoi d'images. Mais c'est bien le fonctionnement entier de l'app qui a été mis en sommeil.
Au vu de ce départ calamiteux, difficile d'envisager une seconde chance pour l'éditeur. Plus encore avec l'annonce faite par Apple de l'adoption prochaine du RCS. Ce n'est pas la même chose que d'ouvrir iMessage à Android, mais c'est un grand pas pour l'interaction entre iOS et Android.
Apple va travailler avec Google pour intégrer RCS
Article du 20 novembre
Nothing, le constructeur de smartphones Android mené par Carl Pei, a tenté un coup médiatique en annonçant l’arrivée d’iMessage sur ses appareils. La messagerie instantanée d’Apple restant propriétaire et fermée, il s’agissait en réalité d’une nouvelle app nommée Nothing Chat qui intégrait les services de Sunbird, l’une des quelques apps pour Android qui permettent d’accéder à iMessage sur Android via un Mac. L’idée est loin d’être nouvelle et c’est un bricolage qui fonctionne à peu près, mais qui pose toujours des problèmes assez évidents en matière de sécurité des données personnelles quand vous ne gérez pas le Mac en question.
Dans sa présentation, le CEO de Nothing insistait sur la sécurité de la solution et le respect des données personnelles des utilisateurs. Ce qui était malheureusement loin de la réalité et le système mis en place par Sunbird s’est avéré une catastrophe dans ce domaine. Lors de l’inscription, l’entreprise utilise les identifiants iCloud de l’utilisateur et les associe à un Mac mini stocké dans un serveur. Cet ordinateur se charge d’envoyer et recevoir les messages chiffrés dans le cadre d’une utilisation normale d’iMessage, puis de les transférer à l’utilisateur sous Android.
C’est à ce niveau que le problème se posait. Comme l’a rapidement découvert un développeur, les données n’étaient ni chiffrées de bout en bout comme Sunbird le promettait, ni même sécurisées. Les messages étaient transmis en clair sans même la protection d’une connexion HTTPS et n’importe qui pouvait les intercepter pour les lire. Pire, de nombreux fichiers étaient stockés en clair et ce développeur a réussi à récupérer 630 000 éléments depuis les serveurs de Sunbird, y compris des « vCard », le format de fichier de l’app Contacts d’Apple. En ouvrant l’un d’eux, il a accédé aux coordonnées complètes d’un utilisateur de Nothing Chat : numéro de téléphone, email, nom complet et parfois d’autres informations, comme des adresses postales.
Le système mis en œuvre par Sunbird était si faible sur le plan de la sécurité que son concurrent Texts.com a rapidement mis au point une preuve de concept qui permettait de récupérer des données privées en envoyant simplement un iMessage depuis un iPhone vers un compte qui utilise Nothing Chat. Face à un tel constat, Nothing n’a pas trainé et a retiré son app et fermé le service quelques jours à peine après sa présentation. Officiellement, le constructeur évoque un retard au lancement, le temps de corriger les bugs avec Sunbird.
Un retour est-il réellement envisageable toutefois ? La réputation de Nothing Chat va être difficile à rétablir désormais et même peut-être celle de Nothing tout court. Pourquoi l’entreprise n’a-t-elle pas identifié ces problèmes de sécurité aussi flagrants en amont ? Comment a-t-elle pu sortir la fonctionnalité en la présentant comme sécurisée, uniquement sur la base de ce que Sunbird lui a sans doute promis ? C’est une erreur majeure et il va sans doute être difficile de rebondir.
D’autant plus que Nothing n’a pas eu de chance avec le calendrier. Trois jours après avoir présenté la nouveauté, Apple annonçait l’adoption de RCS pour 2024. Même si ce n’est pas une réponse aussi satisfaisante pour tous ceux qui veulent iMessage sous Android, ce sera une bonne manière de combler l’écart entre les utilisateurs d’iOS et ceux qui utilisent le système de Google, réduisant en partie l’intérêt des ponts comme celui de Sunbird.
Google exulte : Apple va finalement adopter RCS, le « SMS 2.0 », en 2024 🆕
C’est juste que les entreprises chinoises n’ont strictement rien à faire des données personnelles, et qu’elles n’y accordent aucune valeur.
Il faut vraiment être naïf pour acquérir ce genre de solution
Sunbird est une entreprise située dans le Colorado.
réflexe pavlovien.
sun = soleil.
donc soleil levant donc Chine (ou Japon bref l'Orient)
@vince29
Il a surtout vu la photo de Carl PEI dans l'encart YT illustrant l'article et a fait l'association malheureuse avec une entreprise Chinoise... :/
@lmouillart
"Sunbird est une entreprise située dans le Colorado."
détails !!
y a quoi au Colorado ? des humains !
et les chinois c'est quoi à votre avis ? des humains !
colorado=chinois , donc ! CQFD, Trivial, selon les hypothèses de travail, nonobstant les approximations
@ohmydog
Pas rien à faire, bien au contraire (demande à leur gouvernement)
Balancer ses identifiants a n’importe qui…. Malheureusement c’est monnaie courante.
@fredsoo
On voit ça chez les jeunes. C'est chose normale, même les mot de passe bancaires etc.
Je ne retrouve plus l'étude sur la vie privée qui décrit que les plus anciens avaient une certaine vie privée et qui estime qu'elle est et sera à zéro pour les futures générations.
@frankm
Pas que les jeunes. Quand je vois les mots de passe utilisés par mes collègues qui ont 50 ou plus, je me dis que c'est assez dingue... Ma responsable, 1 mot de passe pour tous les outils pros, et je suis sur qu'elle utilise le même pour du perso.
L’app reviendra et cette histoire sera malheureusement vite oubliée et/ou les client n’y verront que leur intérêt sur le moment sans se souciez des conséquence éventuelles.
@gwen
mmhmm faut quand meme avoir un mac. ca ne sera donc pas a la porté de tous les utilisateurs d’android.
mais sinon je pluessoie, samsung est toujours là malgré l’aventure des note7…
@raoolito
Le Mac en question est dans le datacentre de Sunbird.
@gwen
oui ? et on va tous finir cramé par le soleil ? La Fatalité ce n'est pas une fatalité hein...
@oomu
Il n’y a pas de fatalité, juste des prévisions basées sur mon expérience.
Nothing new under the sun…bird 😈
En gros, c'est comme un intermédiaire qui laisse son entrepôt grand ouvert
Parfois, le nom est programme.
C’est PASRIEN cette histoire 😂😂
@athao
Je l’ai 🤭
@athao
Excellent 😂
MKBHD doit être bien content d’avoir bien averti des dangers avant de parler de cette feature sur sa vidéo !
un Mac mini stocké dans un serveur ?
En terme de sécurité et de confidentialité, je ne bois déjà même pas toutes les paroles de Cook. Alors ce CEO de Nothing, qui m’a l’air pourtant bien sympathique, niveau confiance c’est nothing.
@winnipeg
Bravo 👏🏻👏🏻
Quand c’est du cheap, c’est du cheap.
De toute façon, cette marque de telephone, c'est une escroquerie. Juste de la hype d'avoir un derrière sympa et certains médias qui les badent pour on ne sait quelle raison.
Mais quelle blague Nothing. Ils tiendront pas longtemps à ce niveau.
> Pourquoi l’entreprise n’a-t-elle pas identifié ces problèmes de sécurité aussi flagrants en amont ?
Parce que, comme la plupart des dirigeants, ils n’utilisent pas leurs produits. Le cahier des charges était « faut envoyer et recevoir des iMessages sur Android ». L’implémentation a été testée rapidement le temps d’une présentation ou démo, et ensuite le dirigeant a repris son iPhone pour vaquer à d’autres tâches.
@serenity
Oui, ça me rappelle des dirigeant de grosse boîte de smartphone chinois qu’on voyait sur les photos utiliser un iPhone ^^
Bande sonore de la prochaine pub Apple:
🎶…
Cuz’ NOTHING compares
Nothing compares
To iMessage on iOS
🎶…