L’application Nothing Chats, qui a été lancée en début de semaine en tant qu’alternative à iMessage, a été retirée de la boutique Google Play. Alors que l’entreprise a initialement attribué cette suppression à « divers bugs », une analyse technique détaillée réalisée par des chercheurs en sécurité suggère que des préoccupations de sécurité importantes étaient la vraie raison derrière le retrait de l’application.
Le fondateur de Texts.com, Kishan Bagaria, a été le premier à soulever ces préoccupations sur Twitter, et par la suite, l’équipe de Texts.com a publié un blog complet décrivant les vulnérabilités de l’application. Leurs recherches ont révélé que Sunbird, le fournisseur de services de Nothing, avait trompé les utilisateurs quant au chiffrement de bout en bout des messages transmis via leurs serveurs.
Bien que les messages envoyés aux serveurs de Sunbird soient chiffrés, les jetons Web JSON (JWT) générés par le service étaient envoyés sans chiffrement à un autre serveur de Sunbird, les rendant vulnérables à l’interception. De plus, les messages étaient déchiffrés et stockés sur les serveurs de Sunbird, les rendant vulnérables à des accès non autorisés.
Texts.com a démontré cette vulnérabilité en interceptant les jetons JWT échangés entre deux appareils, leur permettant d’accéder à la base de données en temps réel de Firebase. En seulement 23 lignes de code, les chercheurs ont pu intercepter les jetons JWT et accéder aux informations de l’utilisateur et aux conversations.
Bien que la responsabilité finale des problèmes de confidentialité incombe à Sunbird, Nothing a été critiquée pour avoir choisi de travailler avec cette société et minimiser la gravité de la situation en les qualifiant de simples « bugs ». De plus, avec l’annonce récente d’Apple concernant le support de RCS, l’attrait de l’application Nothing Chats a encore diminué.
Il est recommandé aux utilisateurs de faire preuve de prudence lorsqu’ils se connectent à des services tiers en utilisant leur identifiant Apple, même si le chiffrement est promis. L’avenir de l’application Nothing Chats reste incertain car on ne sait pas encore si elle pourra résoudre ces problèmes de sécurité et revenir avec succès sur le Play Store.