Rien Les discussions n’ont peut-être pas été chiffrées de bout en bout
Une patate chaude : Lorsque Nothing a dévoilé son application de chat la semaine dernière, il semblait avoir brisé le mur séparant les utilisateurs d’iMessage de tous ceux qui ne possèdent pas d’iPhone. Cependant, un groupe de chercheurs en sécurité a rapidement lancé de vives accusations contre son intégrité en matière de sécurité, suggérant que le service est trop beau pour être vrai.
Au milieu de graves problèmes de confidentialité, Nothing a supprimé la version bêta de son application de chat Android vers iOS du Google Play Store. La société a également retardé le lancement complet, mais n’a pas précisé pour combien de temps.
Le nouveau service, Nothing Chats, a permis aux propriétaires de Nothing Phone 2 d’envoyer des SMS aux utilisateurs d’iMessage sur des appareils Apple avec des fonctionnalités avancées telles que le cryptage de bout en bout, des médias de haute qualité, des discussions de groupe, etc. Étant donné qu’iMessage est exclusif aux appareils Apple et ne prend actuellement pas en charge RCS, il convertit les messages des appareils Android en SMS ou MMS, qui sont moins sécurisés et manquent de fonctionnalités modernes.
Je veux juste clarifier quelque chose. Sunbird *a menti* à rien. Ils ont déclaré que les messages étaient cryptés de bout en bout. Ils n’étaient pas. Sunbird le savait parce qu’ils téléchargent des éléments sur Firebase.
Rien ne devrait simplement « retarder le lancement ». Ils devraient annuler tout le projet. https://t.co/COjeFwdMm1
– Dylan Roussel (@evowizz) 18 novembre 2023
Des concurrents comme Google, Meta et de nombreux fournisseurs de télécommunications ont critiqué à plusieurs reprises les politiques de messagerie du géant de Cupertino, et la menace croissante d’une réglementation européenne a peut-être poussé Apple à les modifier. La société prévoit de mettre en œuvre le RCS l’année prochaine comme nouvelle solution de repli.
Pendant ce temps, un groupe de chercheurs en sécurité a mis en doute les affirmations de Nothing et du fournisseur backend Sunbird selon lesquelles leur solution intermédiaire maintenait un cryptage de bout en bout. Une longue critique technique allègue qu’à certains moments, lorsque Sunbird assure la médiation des messages entre Android et iMessage, le contenu et les informations de compte deviennent non cryptées et vulnérables aux attaques.
L’utilisation de Nothing Chats oblige les utilisateurs à donner à Sunbird leur identifiant Apple – ce qui est en soi risqué – mais les chercheurs ont publié une preuve de concept affirmant que les pirates pourraient potentiellement accéder à ces données. En outre, ils affirment que la visibilité de l’information pour les employés de Sunbird pourrait la rendre propice à des attaques internes.
C’est l’heure du fil !
Résumé:
– Sunbird a accès à tous les messages envoyés et reçus via l’application sur votre appareil.– Tous les documents (images, vidéos, audios, pdfs, vCards…) envoyés via Nothing Chat ET Sunbird sont publics.
– Nothing Chats n’est pas crypté de bout en bout.
– Dylan Roussel (@evowizz) 18 novembre 2023
Nothing et Sunbird ont retiré la version bêta de Nothing Chats du Google Play Store peu de temps après les révélations. Rien n’attribue la suppression et le retard du lancement à des bugs, ce qui a suscité de vives critiques de la part des commentateurs accusant l’entreprise de mentir sur ses fonctionnalités de sécurité. Les chercheurs suggèrent à toute personne ayant utilisé Nothing Chats de modifier son mot de passe Apple, de révoquer l’accès au compte depuis l’application et de la désinstaller.
Si Nothing et Sunbird ne répondent pas aux critiques, les propriétaires du Nothing Phone 2 et d’autres appareils Android devront probablement attendre qu’Apple implémente RCS dans iMessage en 2024. Bien que le changement améliore la façon dont les messages d’Android vers les appareils Apple apparaissent, ils n’intégrera pas toutes les fonctionnalités d’iMessage.
Google travaillera aux côtés d’Apple pour superviser l’intégration, qui devrait mettre en œuvre des accusés de lecture, des indicateurs de frappe en direct et des médias haute résolution. RCS sur iMessage utilisera le cryptage de la GSM Association au lieu du système qu’Apple utilise pour les messages entre les appareils de l’entreprise. De plus, iMessage restera exclusif au matériel Apple et les utilisateurs iOS recevant des messages d’Android continueront de voir des bulles vertes.
