Vous avez peut-être remarqué un certain buzz en ligne concernant Beeper, une solution tout-en-un qui combine toutes vos applications de messagerie en un seul endroit. Selon la société, il n’est plus nécessaire de jongler avec un énorme nombre d’applications juste pour rester en contact avec des amis, la famille et au travail : Avec Beeper, vous pouvez garder ces discussions en un endroit, et vous pouvez même envoyer des iMessages à vos amis depuis Android.
Ce dernier point serait particulièrement révolutionnaire. Bien sûr, ce serait génial de communiquer avec tous mes amis depuis une seule application, mais un moyen facile d’envoyer des iMessages sur Android ? Inestimable. Vous pourriez prendre un Galaxy Z Flip, quelque chose de totalement différent de l’iPhone standard que nous connaissons tous, mais ne apparaissant jamais comme une bulle verte pour quiconque sur la plateforme. Incroyable.
Mais voici le problème : Beeper fonctionne absolument, et cela peut être votre réalité, mais à un coût élevé pour votre sécurité. À mon avis, cela n’en vaut tout simplement pas la peine.
Comment fonctionne Beeper
Aussi complexe que soit la tâche qu’il entreprend, Beeper est une machine étonnamment simple. Elle est construite sur deux parties : la première est l’application cliente, disponible sur Mac, Windows, Linux, Chrome OS, iOS et Android. C’est le programme que vous utilisez pour regrouper vos différentes applications de chat en un seul endroit. L’autre partie est le service lui-même, que Beeper maintient en arrière-plan.
Ce service est basé sur Matrix, une norme de messagerie décentralisée et open source. Comme d’autres systèmes décentralisés, Matrix vous permet de communiquer librement avec d’autres personnes, peu importe les plateformes que vous utilisez. Vous pouvez tous deux utiliser Matrix, ou vous pouvez créer un “pont” pour connecter votre norme Matrix à leur plateforme de choix. Cela nécessitait un certain savoir-faire dans le passé, mais Beeper rend cela aussi simple que de configurer n’importe quelle autre application de messagerie.
Lorsque vous configurez un nouveau service de chat avec Beeper, il crée l’un de ces ponts pour connecter votre client à cette application. Le rôle du pont est de relayer les messages dans les deux sens, et chaque plateforme de chat a son propre pont. Voilà, en quelques mots, comment fonctionnent les bases de Beeper.
Beeper ne peut pas gérer la cryptographie de bout en bout de manière sécurisée avec la plupart des applications de chat
Bien sûr, les choses deviennent plus compliquées lorsque vous introduisez la cryptographie dans le tableau. La cryptographie varie d’une plateforme à l’autre, mais il existe certains services, comme iMessage, Signal et WhatsApp, qui sont entièrement cryptés de bout en bout (E2EE). Beeper lui-même est E2EE entre d’autres utilisateurs de Beeper et Matrix : tout message que vous envoyez à quelqu’un utilisant le client Beeper ou Matrix est protégé. Bonne nouvelle !
Cependant, la bonne nouvelle s’arrête là. Comme la plupart de vos amis n’utiliseront pas Beeper, vous devrez envoyer votre message depuis Beeper directement vers leur plateforme de choix. Concentrons-nous sur iMessage pour cet exemple, puisque beaucoup de gens seront probablement intéressés par Beeper pour utiliser le protocole de messagerie d’Apple sur Android, mais beaucoup des éléments essentiels ici s’appliquent également à WhatsApp et Signal.
Pour faire fonctionner iMessage sur Beeper, vous devez donner à Beeper l’accès à votre compte Apple. C’est un énorme risque pour la sécurité en soi, et vos appareils Apple vous préviendront immédiatement : lorsque vous connectez Beeper à iMessage, vous recevrez une alerte de sécurité indiquant que quelqu’un à un autre emplacement tente de se connecter à votre compte Apple. C’est un des Mac de Beeper, auquel vous devrez donner la permission si vous voulez relier vos iMessages à votre client Beeper. Certains pourraient considérer cela comme un échange valable, mais je trace la ligne ici.
Mais ce n’est pas la fin des problèmes de sécurité. Lorsque vous envoyez un message de Beeper à un contact sur iMessage, ce message est crypté sur votre appareil, envoyé au service web de Beeper, décrypté et récrypté, puis envoyé à votre ami. Essentiellement, Beeper doit d’abord “ouvrir” votre iMessage pour pouvoir l’envoyer. Cela est nécessaire pour que ce service fonctionne, car les plateformes comme iMessage, WhatsApp et Signal ont des protocoles de cryptographie propriétaires qui ne communiquent pas avec d’autres plateformes, comme Beeper ou Matrix. Cependant, c’est une énorme faille de sécurité, car cela brise l’E2EE sur laquelle ces services sont construits.
Lorsque vous envoyez un iMessage à un ami depuis votre iPhone, ce message est protégé de tous, excepté vous deux. La seule façon de déchiffrer et de lire ce message est que vous ayez accès à l’un de vos appareils connectés. Pour tous les interceptors, tout, d’un mème drôle à votre numéro de sécurité sociale, ressemble à une collection en désordre de mathématiques incompréhensibles. Voilà comment fonctionne l’E2EE.
En décryptant le message sur les serveurs de Beeper, les employés de Beeper peuvent lire vos messages. Mais même s’ils prêtent un serment de ne jamais lire les messages des utilisateurs, cela n’a pas d’importance, car si Beeper est jamais piraté, les acteurs malveillants auront accès à tous les iMessages entrants et sortants. (Et je vous promets qu’ils les liront.) Certes, une fois qu’un message est traité et récrypté, personne ne peut les lire autre que les parties concernées, mais ce maillon faible au milieu défie tout le but de la conception “de bout en bout”.
Imaginez qu’il y a un tigre dans votre salon. Vous êtes dans votre chambre, où il n’y a pas de tigre, et vous devez aller aux toilettes, qui sont également exemptes de tigres. Juste parce que ces deux pièces sont à l’abri du tigre, cela ne signifie pas qu’il est sûr de traverser la pièce avec le tigre pour y parvenir. Bien sûr, il y a un gardien de tigre qui jure qu’il gardera cet animal en laisse. Mais si quelqu’un réussissait à entrer et à libérer silencieusement le tigre, ce tigre aurait accès à vos iMessages non cryptés.
Beeper n’est pas totalement mauvais avec la cryptographie
L’histoire est meilleure pour les données stockées sur les serveurs de Beeper, toutes étant cryptées. Cela inclut vos historiques de messages. Beeper ne peut pas lire ces données car elles sont E2EE. La seule façon d’y accéder est grâce au Code de Récupération que vous recevez lors de la création de votre compte. Cela vous permet d’accéder en toute sécurité à vos données sur d’autres appareils, et cela signifie également que Beeper ne peut pas vous aider à récupérer ces données si vous perdez cette clé.
Il y a aussi de l’espoir pour l’avenir : Beeper mentionne que la nouvelle législation de l’UE obligera les entreprises comme Apple et Meta à créer des API interopérables cryptées de bout en bout. En bref, ce changement pourrait permettre à un service comme Beeper de préserver l’E2EE à travers ses ponts, ce qui permettrait de garder vos iMessages protégés pendant leur transit. En l’état actuel, cependant, le service n’est tout simplement pas sûr : il prend des protocoles de messagerie protégés et les expose à quiconque souhaite jeter un coup d’œil. Vous pourriez penser que cela vaut le risque d’avoir iMessage disponible sur Android, mais pour quiconque accorde de l’importance à sa vie privée et à sa sécurité, Beeper n’est pas la solution—du moins, pas encore.
