Sunbird – l’application iMessage pour Android – vient de s’arrêter

Hibou Gourou
Application de messages Sunbird pour Android
Nadeem Sarwar / Tendances numériques

Ce qui était censé être un rédempteur iMessage pour les utilisateurs de smartphones Android a rapidement été consommé dans un chaos de sécurité et une négligence totale . Quelques jours seulement après la suppression de l'application Nothing Chats du Play Store, la technologie de base fournie par Sunbird prend également un congé indéterminé, intensifiant les soupçons selon lesquels quelque chose ne va vraiment pas.

Sunbird est apparu sur notre radar à la fin de l'année dernière, promettant des bulles bleues pour les messages Android vers iPhone. Il promettait également de regrouper toutes les applications de messagerie dans un seul cluster, un peu à la manière de Beeper . Nothing a adopté la technologie Sunbird, l'a regroupée dans sa propre application pour le Nothing Phone 2 et l'a lancée avec une vidéo ambitieuse. "Désolé, Tim." C'est le message envoyé par le PDG de Nothing, Carl Pei.

Apportez les bulles bleues.

Nous croyons aux fenêtres, pas aux murs. Si les services de messagerie divisent les utilisateurs de téléphones, nous voulons alors faire tomber ces barrières.

Alors… nous avons développé la compatibilité iMessage pour votre téléphone (2). pic.twitter.com/kArTGfXlQO

— Rien (@rien) 14 novembre 2023

Au cours du week-end, j'ai remarqué que la liste Google Play Store de l'application Sunbird renvoyait une page vierge. Au départ, je pensais qu'il n'était pas disponible en raison de certaines restrictions géographiques. La société n'a fait aucune annonce publique à ce sujet, sauf en informant les membres de la chaîne Sunbird Discord.

"Nous avons temporairement fermé l'application Sunbird pendant que nous effectuons une analyse de sécurité détaillée", indique l'alerte, ajoutant que la société fournira plus de détails lorsqu'elle identifiera les "événements exacts".

Annonce de Sunbird Discord 1. Annonce de Sunbird Discord 2. Annonce de Sunbird Discord 3.

Fait intéressant, la révélation a été faite pour la première fois dans le canal d'annonces de développement du réseau Discord de Sunbird. "Par mesure de prudence et pour protéger vos données confidentielles, nous fermons temporairement Sunbird", a-t-il déclaré.

Ce que je n'arrive pas à comprendre, c'est pourquoi il a fallu un jour pour diffuser la même information sur la chaîne publique. Et surtout, pourquoi Sunbird n’a-t-il pas fait d’annonce sur ses identifiants actifs Facebook et X (anciennement Twitter) ?

Dans un message apparu aujourd'hui sur la chaîne publique Discord, Sunbird a seulement déclaré que « il se passait beaucoup de choses », mais n'a fourni aucun détail technique supplémentaire ni aucun progrès dans l'atténuation des risques. "Nous avons décidé de suspendre l'utilisation de Sunbird pour le moment pendant que nous étudions les problèmes de sécurité", indique le message.

Digital Trends a contacté le responsable technique de Sunbird, Garin, pour plus d'informations et mettra à jour cette histoire dès qu'il répondra.

Sunbird a uniquement commencé à avertir les utilisateurs via un message intégré à l'application. Plus tôt dans la journée, 9to5Google a repéré des notifications dans l'application des utilisateurs de Sunbird publiées sur Reddit , les informant que l'application était temporairement suspendue. C'est le même message qui a été partagé pour la première fois dans la communauté Discord.

Les risques de sécurité

La page d'accueil de Nothing Chats dans l'application.
Andy Boxall / Tendances numériques

Les spécialistes de la sécurité de Texts ont découvert que l'application de messagerie Nothing Chats n'utilisait pas les protocoles de sécurité HTTPS pour ses messages. Au lieu de cela, il a utilisé la norme HTTP la moins sécurisée, transmettant des messages en texte brut non crypté. Si l’histoire nous a appris quelque chose sur la sécurité numérique, le texte brut est une mauvaise nouvelle.

Une enquête distincte a révélé que tous les types de communications via Nothing Chats – y compris les textes, images et autres médias – étaient envoyés dans ce format non sécurisé et facilement visible. De plus, il a été découvert que tous les messages envoyés et stockés sur Nothing Chats n'étaient pas cryptés et hébergés sur une plate-forme Firebase facilement accessible.

D'autres résultats ont montré qu'une fois que les utilisateurs se sont authentifiés à l'aide de jetons Web JSON (JWT), qui ne sont pas sécurisés lors de la transmission, ils ont accès à la base de données Firebase de Nothing Chat. Cet accès leur permet de visualiser les messages et fichiers des autres utilisateurs, qui sont envoyés et stockés en temps réel et en texte brut.

Nothing Chats sur un Nothing Phone 2 par rapport à iMessage sur un iPhone 15 Pro Max.
iMessage sur un iPhone 15 Pro Max (à gauche) et Nothing Chats sur un Nothing Phone 2 Andy Boxall / Tendances numériques

Tout cela sonne des alarmes de sécurité géantes concernant l'application Sunbird (et Nothings Chats) . C'est particulièrement inquiétant lorsqu'il vous demande vos identifiants Apple ID, le jeton magique qui relie tout, de vos e-mails et photos personnelles à vos coordonnées bancaires.

Il serait intéressant de voir où vont Nothing et Sunbird à partir d’ici. Mais avec Apple adoptant RCS et comblant le fossé des fonctionnalités pour la messagerie Android-iPhone, je ne pense pas que cela vaudrait la peine de risquer votre vie privée et la sécurité de vos données pour un piratage qui vous donne des bulles de discussion bleues.