Le bipeur est-il sûr ? Pourquoi Apple a fermé l'application Android vers iMessage

Publié: 2023-12-11

Apple a catégoriquement fermé Beeper Mini, une application qui permettait aux utilisateurs d'envoyer des iMessages – qui sont envoyés via Wi-Fi plutôt que via des réseaux cellulaires – entre des appareils Android et iOS .

Vendredi, la société a annoncé sur la plateforme de médias sociaux X qu'elle subissait une panne. Il s'est avéré plus tard que cela était dû aux efforts d'Apple pour le bloquer, le géant de la technologie invoquant des « problèmes de sécurité ».

Dans ce petit guide, nous expliquerons pourquoi Apple voulait tant arrêter Beeper Mini , si Beeper est sûr et s'il existe des alternatives Beeper qui méritent d'être prises en compte. Au total, nous couvrons :

  • Qu'est-ce que le bipeur ?
  • Pourquoi Apple a-t-il fermé Beeper ?
  • Le bipeur est-il sûr ? Mesure de sécurité expliquée
  • Le bipeur est-il déjà réparé ?
  • Sunbird : une alternative au Beeper à éviter

Qu'est-ce que le bipeur ?

Beeper Mini est une application mobile lancée début décembre 2023. L'application permet aux utilisateurs d'Android d'envoyer des iMessages , une forme de correspondance généralement exclusive aux iPhones, iPads et autres appareils exécutant iOS.

« Beeper », quant à lui, est une application de messagerie unifiée tout-en-un pour appareils et ordinateurs de bureau iOS qui a été lancée en 2021. Après le lancement de Beeper Mini, elle a été renommée « Beeper Cloud ».

Bien qu'il soit possible d'envoyer des iMessages sans iPhone avant l'existence de Beeper, la méthode de l'entreprise est une manière plus récente, plus simple et plus sécurisée de le faire.

Beeper n'exige même pas que les utilisateurs créent ou remettent leurs identifiants Apple.

Logo Surfshark Vous souhaitez naviguer sur le Web en privé ? Ou donner l'impression que vous êtes dans un autre pays ?
Obtenez un énorme 86 % de réduction sur Surfshark avec cette offre Tech.co Black Friday. Voir le bouton Offre

Beeper Mini a été lancé après qu'un chercheur en sécurité – alors lycéen – ait soumis un script Python qui a réussi à procéder à une ingénierie inverse du protocole iMessage d'Apple et à fournir la fonctionnalité aux téléphones Android.

Pourquoi Apple a-t-il fermé Beeper ?

Vers la fin de la semaine dernière, Reddit a commencé à être rempli de rapports faisant état d'une panne de Beeper alors que les demandes de messages des utilisateurs expiraient en masse.

Les rapports ont ensuite été validés par Eric Migicovsky, co-fondateur de Beeper, sur X (anciennement Twitter), qui a déclaré que "toutes les données indiquent que" Apple était à l'origine de la panne .

Apple explique dans un communiqué récemment publié qu'il "a pris des mesures pour protéger nos utilisateurs en bloquant les techniques qui exploitent de fausses informations d'identification pour accéder à iMessage".

"Ces techniques présentaient des risques importants pour la sécurité et la confidentialité des utilisateurs", poursuit la déclaration unique de l'entreprise à la presse sur le sujet, "y compris le potentiel d'exposition des métadonnées et l'activation de messages indésirables, de spam et d'attaques de phishing ".

La décision d'Apple de bloquer Beeper Mini a provoqué l'ire de la sénatrice américaine Elizabeth Warren, défenseure de longue date de lois antitrust plus strictes, qui a accusé Apple d'« écraser ses concurrents ».

Le bipeur est-il sûr ?

En bref, Beeper Cloud présente certaines limitations de sécurité qui le rendent moins sécurisé que l'utilisation d'applications de messagerie cryptées. Cependant, Beeper Mini est beaucoup plus sécurisé : l'ouverture de l'entreprise sur son architecture de sécurité et ses tests rigoureux d'applications sont encourageants, et vous n'avez pas besoin de fournir d'informations de compte Apple pour l'utiliser.

Il est important de noter que Beeper Mini semble actuellement plus sûr que les autres options Android vers iMessage, ainsi que l'envoi de messages SMS non cryptés. La sécurité est rarement une équation à somme nulle et actuellement, les messages Android ne sont pas cryptés. De plus, il ne semble y avoir aucun problème de sécurité évident dans la façon dont l'application a été configurée, malgré les protestations d'Apple.

Nuage de bips

Il existe des limitations à Beeper Cloud du point de vue de la sécurité, qu'il convient de connaître. L’entreprise déclare dans son « Guide de démarrage » :

« Beeper est une application de chat universelle qui prend en charge les connexions à plus de 15 réseaux de chat. Pour utiliser Beeper, vous devez autoriser l'application à envoyer et recevoir des messages via d'autres réseaux de discussion en utilisant les informations d'identification de votre compte. Par définition, cela peut être moins sécurisé que d’utiliser uniquement d’autres applications de chat, en particulier les applications de chat cryptées comme Signal.

De plus, comme le soulignait ce rapport LifeHacker d'août, si les utilisateurs voulaient envoyer des messages via Beeper, ils devraient fournir les informations de leur compte Apple – ce qui représente un « risque énorme ».

Cependant, ce n'est pas le cas du Beeper Mini récemment lancé (plus d'informations ci-dessous) qu'Apple a bloqué – vous n'avez pas besoin de vous connecter avec des informations d'identification.

Mini-bipeur

Beeper Mini a fait de grands efforts pour le rendre aussi sécurisé que possible pour les utilisateurs, ce qui est encourageant – et il est tellement confiant dans son travail qu'il a rendu son code open source.

Comme nous l'avons dit précédemment, c'est certainement plus sûr pour les utilisateurs d'Android que d'envoyer des messages texte standard – et votre identifiant de compte Apple n'est pas nécessaire pour utiliser l'application.

Explication du processus de cryptage et de sécurité du Beeper Mini

À l'heure actuelle, les messages Android/« texte » (c'est-à-dire les « bulles vertes ») ne sont pas cryptés. Cela signifie qu’ils peuvent être lus par toute personne qui le souhaite, y compris votre opérateur téléphonique. Il existe très peu de protections en place pour empêcher ce type de comportement intrusif de se produire.

En revanche, lorsque vous envoyez un message depuis un appareil Android à l'aide de Beeper Mini, il sera crypté de bout en bout (E2EE) avant d'être envoyé, et donc envoyé en toute sécurité. Pour ce faire, il implémente le protocole E2EE d'Apple de manière native dans l'application Android.

"Nous avons construit Beeper Mini en analysant le trafic envoyé entre l'application iMessage native et les serveurs d'Apple et en reconstruisant notre propre application qui envoie les mêmes requêtes et comprend les mêmes réponses", explique un article de blog de l'entreprise.

Beeper affirme qu'il ne peut pas visualiser le contenu des messages envoyés à l'aide de son application, et que les clés de cryptage privées utilisées pour sécuriser les messages – ainsi que les contacts – ne quittent pas les appareils locaux des utilisateurs. Seules les clés publiques sont envoyées aux serveurs Apple et les messages ne sont pas transférés sous forme de texte brut.

Un diagramme montrant le fonctionnement du système de routage des messages de Beeper. Image : Bipeur

Contrairement à d'autres applications fournissant des services similaires, Beeper Mini se connecte directement aux serveurs Apple plutôt que d'utiliser un relais de serveur Mac, ce que les concurrents ont eu du mal à faire jusqu'à présent. Ceci est considéré comme plus sécurisé qu’une entreprise intermédiaire hébergeant ses propres serveurs.

De cette façon, Beeper Mini fait croire à Apple que les messages Android envoyés via ses services sont des iMessages, ce qui signifie qu'il peut profiter du système de sécurité Gateway d'Apple.

Cependant, étant donné que c'est le cas, des questions demeurent sur la façon dont Apple a pu analyser ces messages à partir d'iMessages standard et arrêter Beeper Mini dans son élan la semaine dernière.

Services de diagnostic et de reporting Beeper Mini

Il est important de noter que Beeper Mini utilise très peu de services et d'applications supplémentaires pour les rapports de diagnostic et d'analyse et les répertorie sur son blog de sécurité.

La société utilise « une installation auto-hébergée de Rudderstack pour les événements d’analyse et de diagnostic » – elle est utilisée pour améliorer l’application mais peut être désactivée par les utilisateurs dans les paramètres. OneSignal et RevenueCat sont également utilisés, indique la société.

Tests de sécurité Beeper Mini

Beeper dit avoir effectué une analyse de l'équipe rouge sur Bleeper Mini. Cela signifie qu’il a réuni une équipe d’experts en sécurité pour tenter de pirater l’application comme le ferait un acteur malveillant, pour repérer ses faiblesses et ses vulnérabilités, puis les corriger.

Il est encourageant de constater que l’entreprise invite les chercheurs indépendants à la contacter s’ils souhaitent effectuer des analyses similaires et leur fournit une adresse e-mail à cet effet.

Le bipeur est-il déjà réparé ?

Bien que Beeper Mini ne soit pas encore opérationnel, Engadget a rapporté ce week-end que la société affirme être « très proche » d'une solution à la perturbation actuelle.

Cependant, maintenant qu'il est confirmé qu'Apple est à l'origine de la panne plutôt que d'un problème technique ou d'une cyberattaque, l'application pourrait rester indisponible pendant un certain temps encore.

En attendant, de nombreuses personnes rechercheront une alternative à Beeper pour continuer à envoyer des iMessages depuis leurs appareils Android – mais les utilisateurs doivent faire très attention à ce qu’ils décident d’utiliser.

Messagerie Sunbird : une alternative au bip à éviter

Selon les données de Google Trends, à la suite de la panne de Beeper, une application appelée « Sunbird Messaging » a connu une forte augmentation des recherches.

La messagerie Sunbird se présente comme une application de « boîte de réception unifiée » qui, à l'instar de Beeper Cloud, regroupe les messages sur diverses plates-formes et prétend inclure une prise en charge sécurisée d'Android vers iMessage.

Le 9to5Google rapporte que l'application a été mise à disposition en version alpha fermée pour ceux qui se sont inscrits sur sa liste d'attente en 2022 et a affirmé utiliser E2EE de la même manière que Beeper Mini. Cependant, l'application a été suspendue fin novembre 2023 en raison de « problèmes de sécurité », plusieurs sources affirmant que l'application n'était pas cryptée de bout en bout de la manière spécifiée.

Sunbird s'était associé à Nothing – une société de marque de téléphone appartenant au co-fondateur de OnePlus , Charles Pei – pour lancer Nothing Chats, qui a également été retiré des magasins d'applications à peu près au même moment où Sunbird était suspendu.

Nous vous recommandons d'éviter ces applications et de garder également à l'esprit que toute application prétendant être l'un de ces deux services ne doit pas non plus être manipulée. Les efforts considérables déployés par Beeper pour garantir la sécurité de son application illustrent à quel point il est difficile de produire ce type de technologie de manière sécurisée.