Nothing a retiré la version bêta de sa nouvelle application de messagerie, Nothing Chats, du Play Store, un jour seulement après sa sortie, et annonce qu'elle en retarde le lancement “jusqu'à nouvel ordre”. On vous explique pourquoi.

Il y a quelques jours, Nothing avait présenté en grande pompe son application Chats, qui permettait aux utilisateurs de smartphones Android d’utiliser d’envoyer des messages par l’intermédiaire d’iMessage. Cette application visait à combler l’un des plus gros problèmes d’interopérabilité entre les iPhone et les autres smartphones, mais Apple a finalement annoncé adopter les RCS dès 2024.

Après les annonces d’Apple, beaucoup d’internautes ont donc rapidement questionné l’utilité de la nouvelle application de Nothing. Cela n’a pas empêché l’entreprise de lancer son service sur ses smartphones Phone (2) de dernière génération, mais celle-ci n’est pas restée disponible bien longtemps sur le Google Play Store.

Nothing Chats n’est pas aussi sécurisé que l’avait promis l’entreprise

Un billet de blog de Texts.com largement partagé sur les réseaux sociaux a montré que les messages envoyés avec le système de Sunbird ne sont pas réellement chiffrés de bout en bout, et qu'il n'est pas difficile de le compromettre. L’équipe de Texts.com affirme donc que Sunbird a accès à tous les messages envoyés et reçus via l’application.

Un tweet de Dylan Roussel, développeur d'applications Android, explique que Sunbird fait cela en “abusant de @getsentry, qui est utilisé pour surveiller les erreurs”. Mais Sunbird “enregistre les messages en prétendant qu'il s'agit d'erreurs”. Cela contredit donc une information directement tirée du site web de Nothing, qui affirmait que vos messages étaient chiffrés de bout en bout.

Dans la FAQ de Nothing, on pouvait notamment lire « Mes messages sont-ils sécurisés ? », avec comme réponse « Oui, Nothing Chats est construit sur la plateforme de Sunbird et tous les messages de Chats sont chiffrés de bout en bout, ce qui signifie que ni nous ni Sunbird ne pouvons accéder aux messages que vous envoyez et recevez ».

Pire encore, Kishan Bagaria, fondateur de Texts.com, a découvert que l’application envoyait des informations via le protocole de transfert hypertexte (HTTP) au lieu du protocole de transfert hypertexte sécurisé (HTTPS).

Dès la présentation de l’application, plusieurs graves problèmes de sécurité avaient déjà été relevés. Les utilisateurs de Nothing Chats sont notamment contraints de se connecter à leurs comptes Apple sur des Mac mini se trouvant dans les serveurs de Sunbird, donc sur des ordinateurs auxquels ils n’ont pas physiquement accès.

Nothing retire déjà l’application Chats du Play Store

À la suite de ces découvertes, Nothing a donc rapidement retiré son application du Google Play Store. Cependant, le fabricant britannique déclare que cette décision fait suite à la découverte de « bugs », et que cela n’est pas lié à ces problèmes de sécurité. « Nous avons retiré la version bêta de Nothing Chats du Play Store et nous en retardons le lancement jusqu'à nouvel ordre pour travailler avec Sunbird à la correction de plusieurs bugs. Nous nous excusons pour ce retard et nous ferons ce qu'il faut pour nos utilisateurs ».

Pourtant, dans le même temps, Nothing a réfuté les accusations des différents développeurs ayant analysé le code source dans un communiqué. « Bien que le protocole soit HTTP, toutes les données sont cryptées et la clé utilisée pour crypter ces données est fournie via HTTPS, de sorte que les informations d'identification Apple ou les messages envoyés via cette requête HTTP sont sécurisés et ne sont pas accessibles au public. Toutes les données sensibles de l'utilisateur, telles que les identifiants Apple et les messages, sont cryptées à tout moment. Le HTTP n'est utilisé que dans le cadre de la demande initiale unique de l'application notifiant le back-end de la prochaine itération de connexion iMessage qui suivra via un canal de communication autonome », explique l’entreprise.

Il est dommage de voir que le lancement de Nothing Chats a été un véritable désastre, car une enquête a déjà montré que la majorité des utilisateurs passeraient sur iMessage s’il y avait un portable, donc une telle application était très attendue.