Mise à jour le 21 novembre : Sunbird a décidé d'arrêter le fonctionnement son app qui devait apporter les conversations iMessage sur Android. L'éditeur s'était allié avec le fabricant de smartphones Nothing pour proposer cette fonction. Las, moins de 24h après le lancement de Sunbird, une cascade de défauts de sécurité dans le stockage et le transit des messages ont été constatés.
Nothing a débranché l'app le premier en bloquant ses téléchargements puis Sunbird a fait de même prétextant la nécessité d'étudier les problèmes de sécurité découverts. Le seul message publié a concerné la mise en pause de l'envoi d'images. Mais c'est bien le fonctionnement entier de l'app qui a été mis en sommeil.
Au vu de ce départ calamiteux, difficile d'envisager une seconde chance pour l'éditeur. Plus encore avec l'annonce faite par Apple de l'adoption prochaine du RCS. Ce n'est pas la même chose que d'ouvrir iMessage à Android, mais c'est un grand pas pour l'interaction entre iOS et Android.
Apple va travailler avec Google pour intégrer RCS
Article du 20 novembre
Nothing, le constructeur de smartphones Android mené par Carl Pei, a tenté un coup médiatique en annonçant l’arrivée d’iMessage sur ses appareils. La messagerie instantanée d’Apple restant propriétaire et fermée, il s’agissait en réalité d’une nouvelle app nommée Nothing Chat qui intégrait les services de Sunbird, l’une des quelques apps pour Android qui permettent d’accéder à iMessage sur Android via un Mac. L’idée est loin d’être nouvelle et c’est un bricolage qui fonctionne à peu près, mais qui pose toujours des problèmes assez évidents en matière de sécurité des données personnelles quand vous ne gérez pas le Mac en question.
Dans sa présentation, le CEO de Nothing insistait sur la sécurité de la solution et le respect des données personnelles des utilisateurs. Ce qui était malheureusement loin de la réalité et le système mis en place par Sunbird s’est avéré une catastrophe dans ce domaine. Lors de l’inscription, l’entreprise utilise les identifiants iCloud de l’utilisateur et les associe à un Mac mini stocké dans un serveur. Cet ordinateur se charge d’envoyer et recevoir les messages chiffrés dans le cadre d’une utilisation normale d’iMessage, puis de les transférer à l’utilisateur sous Android.
C’est à ce niveau que le problème se posait. Comme l’a rapidement découvert un développeur, les données n’étaient ni chiffrées de bout en bout comme Sunbird le promettait, ni même sécurisées. Les messages étaient transmis en clair sans même la protection d’une connexion HTTPS et n’importe qui pouvait les intercepter pour les lire. Pire, de nombreux fichiers étaient stockés en clair et ce développeur a réussi à récupérer 630 000 éléments depuis les serveurs de Sunbird, y compris des « vCard », le format de fichier de l’app Contacts d’Apple. En ouvrant l’un d’eux, il a accédé aux coordonnées complètes d’un utilisateur de Nothing Chat : numéro de téléphone, email, nom complet et parfois d’autres informations, comme des adresses postales.
Le système mis en œuvre par Sunbird était si faible sur le plan de la sécurité que son concurrent Texts.com a rapidement mis au point une preuve de concept qui permettait de récupérer des données privées en envoyant simplement un iMessage depuis un iPhone vers un compte qui utilise Nothing Chat. Face à un tel constat, Nothing n’a pas trainé et a retiré son app et fermé le service quelques jours à peine après sa présentation. Officiellement, le constructeur évoque un retard au lancement, le temps de corriger les bugs avec Sunbird.
Un retour est-il réellement envisageable toutefois ? La réputation de Nothing Chat va être difficile à rétablir désormais et même peut-être celle de Nothing tout court. Pourquoi l’entreprise n’a-t-elle pas identifié ces problèmes de sécurité aussi flagrants en amont ? Comment a-t-elle pu sortir la fonctionnalité en la présentant comme sécurisée, uniquement sur la base de ce que Sunbird lui a sans doute promis ? C’est une erreur majeure et il va sans doute être difficile de rebondir.
D’autant plus que Nothing n’a pas eu de chance avec le calendrier. Trois jours après avoir présenté la nouveauté, Apple annonçait l’adoption de RCS pour 2024. Même si ce n’est pas une réponse aussi satisfaisante pour tous ceux qui veulent iMessage sous Android, ce sera une bonne manière de combler l’écart entre les utilisateurs d’iOS et ceux qui utilisent le système de Google, réduisant en partie l’intérêt des ponts comme celui de Sunbird.
Google exulte : Apple va finalement adopter RCS, le « SMS 2.0 », en 2024 🆕
Source : Accroche : image Nothing/iGeneration