L’application a été lancée vendredi dernier en bêta. Elle n’a pas passé le week-end. La raison ? Des messages envoyés en clair.
Le ton de Carl Pei était pourtant assuré. Joueur, même. Le fondateur de Nothing, qui s’apprêtait à réaliser ce qu’Apple se refusait à faire depuis des années, s’est manifestement pris les pieds dans le tapis. Nothing Chats, l’application de messagerie (pour l’instant exclusive au Nothing Phone (2)), a déjà été débranchée. Que s’est-il passé exactement ?
D’importants problèmes de sécurité détectés
Annoncée la semaine dernière, Nothing Chats est une application de messagerie permettant de faire l’interface entre les « green bubble », les utilisateurs d’Android, et celles et ceux qui utilisent l’application iMessage d’Apple au quotidien pour discuter (les « blue bubble », du nom de la couleur utilisée par Apple pour les différencier sur son appli). Une belle idée, motivée par d’impérieux désirs d’interopérabilité, qui s’est pourtant rapidement effondrée.
Tout est parti d’une longue analyse publiée par des chercheurs en cybersécurité sur la plateforme Texts.com. Largement relayée sur les réseaux sociaux, elle démontre par A+B à quel point Sunbird, le prestataire retenu par Nothing pour faire transiter les messages vers Nothing Chats, était fragile sur la protection des données personnelles.
Pour le dire plus clairement : la connexion effectuée au compte iCloud n’est pas sécurisée, et les messages envoyés ne sont pas chiffrés de bout-en-bout, contrairement à ce qui a été promis par Carl Pei. Ce qui signifie que les employés de Sunbird, ou des pirates, peuvent facilement les intercepter, et prendre connaissance de leur contenu.
Quel avenir pour Nothing Chats ?
Sunbird a rapidement répondu aux critiques, niant les vulnérabilités découvertes par les chercheurs. Des arguments démontés par ceux-ci, qui expriment dans leur article l’incompétence de Sunbird, et la mauvaise compréhension que l’entreprise semble avoir des technologies qu’elle emploie. Rien de très rassurant, pour un service censé servir de proxy pour le transit de messages, photos et vidéos.
C’est ainsi que, 24 heures après sa mise en ligne, la bêta de Nothing Chats a été purement et simplement retirée du Google Play Store.
Le site américain The Verge a contacté Nothing pour obtenir un commentaire, mais n’a pas encore reçu de réponse. À l’heure où sont écrites ces lignes, nous ignorons si la messagerie sera discrètement jetée aux oubliettes, ou si elle réapparaîtra sous une autre forme. Dans tous les cas, cela ne sera peut-être pas nécessaire : Apple vient d’accepter de prendre en charge le standard de messagerie RCS, autorisant une plus grande interopérabilité entre les smartphones Android et iOS.