Un échec pour Nothing Chats

L’application Nothing Chats de Nothing Phone promettait d’être l’équivalent d’iMessage pour Android, mais en moins de 24 heures, elle a été supprimée de Google Play en raison d’un manque criant de sécurité.

L’application Nothing Chats est une application de messagerie créée par le développeur du smartphone très populaire Nothing Phone, un nouveau « tueur d’iPhone ». Le principal argument de vente de Nothing Chats était la promesse de donner aux utilisateurs d’Android la possibilité de communiquer en utilisant iMessage, un système de messagerie auparavant réservé aux propriétaires d’iPhone.

Cependant, il s’est presque immédiatement avéré que Nothing Chats posait toute une série de problèmes de sécurité et de confidentialité. Ces problèmes étaient si sérieux que moins de 24 heures après sa sortie sur le Google Play Store, l’application a dû être supprimée. Examinons plus en détail ce qu’il en est.

Nothing Chats, Sunbird et iMessage for Android

La messagerie Nothing Chats a été annoncée le 14 novembre 2023 dans une vidéo du célèbre blogueur YouTube Marques Brownlee (alias MKBHD). Il a expliqué que la nouvelle messagerie de Nothing envisageait de permettre aux propriétaires d’un Nothing Phone (basé sur Android) de communiquer avec les utilisateurs iOS via iMessage.

À propos, je vous recommande de regarder la vidéo de MKBHD, au moins pour découvrir comment fonctionnait la messagerie.

La vidéo décrit également brièvement le fonctionnement de la messagerie d’un point de vue technique. Pour commencer, l’utilisateur doit fournir à Nothing Chats l’identifiant et le mot de passe de son compte Apple ID (et s’il ne dispose d’un tel compte, il doit en créer un). Par après, pour citer indirectement la vidéo, « sur une sorte de Mac mini quelque part dans un parc de serveurs », ce compte Apple est connecté, après quoi cet ordinateur distant sert de relais pour la transmission des messages du smartphone de l’utilisateur au système iMessage, et vice versa.

Pour rendre à César ce qui appartient à César, à l’issue de la sixième minute, l’auteur de la vidéo tient à souligner que cette approche comporte de sérieux risques. En effet, se connecter avec votre Apple ID sur un appareil inconnu qui ne vous appartient pas, situé on ne sait où, est une très, très mauvaise idée pour plusieurs raisons.

Annonce du système de messagerie Nothing Chats

Pouvoir obtenir les nuages de messages bleus tant convoités d’iMessage, telle était la principale promesse de Nothing Chats.

La société Nothing n’a pas caché qu’elle n’avait pas développé elle-même la fonction « iMessage for Android ». L’entreprise s’est associée à une autre entreprise, Sunbird, si bien que la messagerie Nothing Chats était un clone de l’application Sunbird : iMessage for Android, avec quelques modifications superficielles de l’interface. À titre d’information, l’application Sunbird a été annoncée à la presse en décembre 2022, mais son lancement complet pour un large public a été constamment reporté.

Nothing Chats et les problèmes de sécurité

Après l’annonce, des soupçons sont immédiatement apparus, selon lesquels Nothing et Sunbird seraient confrontés à de graves problèmes de sécurité et de protection de la vie privée.  Comme mentionné précédemment, l’idée de se connecter avec votre Apple ID sur un appareil tiers est très risquée, car ce compte donne un contrôle total sur une quantité importante d’informations de l’utilisateur et sur les appareils eux-mêmes via la fonctionnalité Apple Localiser.

Pour rassurer les utilisateurs, Sunbird et Nothing ont affirmé sur leurs sites que les identifiants et les mots de passe ne sont stockés nulle part, que tous les messages sont protégés par un chiffrement de bout en bout et que le système est totalement sécurisé.

Garanties de sécurité sur le site Internet de Sunbird

Site Internet de Sunbird confirmant la sécurité et la confidentialité d’iMessage for Android, ainsi que l’utilisation du chiffrement de bout en bout (spoiler : ce n’est pas vrai)

Cependant, la réalité était bien loin des prédictions les plus sceptiques. Une fois l’application devenue disponible, il est vite devenu évident qu’elle ne tenait absolument pas ses promesses en matière de chiffrement de bout en bout. Pire encore, tous les messages et fichiers envoyés ou reçus par l’utilisateur étaient transmis par Nothing Chats sous forme non chiffrée à deux services simultanément : la base de données Google Firebase et le service de surveillance des erreurs Sentry, où les employés de Sunbird pouvaient accéder à ces messages.

Garanties de sécurité sur le site Internet de Nothing

La section FAQ de la page officielle de Nothing Chats mentionne également explicitement le chiffrement de bout en bout

Et comme si cela ne suffisait pas encore, non seulement les employés de Sunbird, mais aussi toute personne intéressée pouvait lire les messages. Le problème était que le jeton requis pour l’authentification dans Firebase était transmis par l’application via une connexion non protégée (HTTP) et pouvait donc être intercepté. Par la suite, ce jeton donnait accès à tous les messages et fichiers de tous les utilisateurs de la messagerie – comme mentionné précédemment, toutes ces données étaient envoyées à Firebase en texte brut.

Une fois de plus, malgré les garanties d’utilisation du chiffrement de bout en bout, tout message de n’importe quel utilisateur de Nothing Chats et tous les fichiers envoyés par cet utilisateur (photos, vidéos, etc.) pouvaient être interceptés par n’importe qui.

La page Nothing Chats affirme que les messages des utilisateurs ne sont jamais stockés nulle part

De plus, la page FAQ de Nothing Chats affirme que les messages ne sont jamais stockés nulle part – n’avez-vous pas maintenant envie de pleurer ?

L’un des chercheurs impliqués dans l’analyse des vulnérabilités de Nothing Chats/Sunbird a créé un site Internet simple comme preuve de la faisabilité d’une attaque, permettant à quiconque de voir que ses messages dans iMessage for Android pouvaient en effet être facilement interceptés.

Peu de temps après que les vulnérabilités ont été rendues publiques, Nothing a décidé de supprimer son application du Google Play Store « pour corriger quelques bugs ». Cependant, même si Nothing Chats ou Sunbird : iMessage for Android reviennent sur le Play Store, il est préférable de les éviter, ainsi que toutes les applications similaires. Cette histoire montre de manière frappante que lors de la création d’un service intermédiaire permettant l’accès à iMessage, il est très facile de commettre des erreurs catastrophiques qui mettent en danger les données des utilisateurs.

Que doivent faire maintenant les utilisateurs de Nothing Chats ?

Si vous avez déjà utilisé l’application Nothing Chats, vous devez procéder comme suit :

  • Connectez-vous à votre compte Apple ID depuis un appareil de confiance, recherchez la page contenant les sessions actives (appareils auxquels vous êtes connecté) et supprimez la session associée à Nothing Chats/Sunbird.
  • Modifiez le mot de passe de votre compte Apple ID. Comme il s’agit d’un compte extrêmement important, il est conseillé d’utiliser une séquence de caractères très longue et aléatoire – Kaspersky Password Manager peut vous aider à générer un mot de passe fiable et à l’enregistrer en toute sécurité.
  • Désinstallez l’application Nothing Chats.
  • Vous pouvez ensuite utiliser un outil créé par l’un des chercheurs pour supprimer vos informations de la base de données Firebase de Sunbird.
  • Si vous avez envoyé des informations confidentielles via Nothing Chats, vous devez les considérer comme compromises et prendre les mesures appropriées : modifier vos mots de passe, réémettre vos cartes, etc. Kaspersky Premium vous aidera à détecter les fuites possibles de vos données personnelles liées à des adresses email ou des numéros de téléphone.
Conseils