(Mise à jour : lundi 11 décembre) Beeper Mini a réalisé quelque chose que personne ne pensait possible : ils ont trouvé un moyen de tromper Apple en lui faisant croire que votre téléphone Android était en réalité un iPhone, permettant ainsi à l’appareil d’envoyer et de recevoir des iMessages cryptés, avec toutes les bulles bleues. Et pour cela, Apple les a punis—et assez rapidement, je dois le dire.
La société a bloqué l’application pour accéder à son contournement original des systèmes de sécurité d’Apple vendredi. Le lendemain, Apple a confirmé ses actions auprès de The Verge, informant le média dans une déclaration qu’ils avaient pris des mesures pour protéger la sécurité des utilisateurs contre l’”exploit” de Beeper. Selon Apple, la solution de Beeper Mini risquait “l’exposition de métadonnées, des messages indésirables, du spam et des attaques de phishing.” En réponse, Beeper a désenregistré les numéros de téléphone des utilisateurs du service et a travaillé sur un correctif.
À ce jour, ils ont réussi à mettre à jour l’application, mais juste : vous ne pouvez plus utiliser votre numéro de téléphone pour vous connecter au service, et vous devez maintenant vous connecter avec votre identifiant Apple. Vous pourrez toujours recevoir des bulles bleues sur votre Android, et il n’y a pas de problèmes de serveur façon Nothing Chats (lisez ci-dessous pour en savoir plus), ce qui n’est cependant pas idéal d’un point de vue sécurité. Cependant, ils ont supprimé l’abonnement de 1,99 $ par mois, donc c’est un bénéfice dans ce drame. Ils semblent également avoir le soutien de la sénatrice Elizabeth Warren :
Ce tweet est actuellement indisponible. Il pourrait être en cours de chargement ou a été supprimé.
Vous pouvez lire mes réflexions originales sur Beeper Mini ci-dessous. Peut-être que certaines de ces choses resteront pertinentes si Beeper Mini parvient à surmonter ces défis. Cependant, leur situation est actuellement, disons, précaire.
L’article original suit :
Lorsque Beeper a d’abord lancé sa solution iMessage sur Android en août, j’étais assez sceptique. Bien que le rêve de pouvoir transformer ces redoutables bulles vertes en bleues soit plus qu’attrayant, la façon dont Beeper et d’autres entreprises le faisaient n’était tout simplement pas assez sécurisée.
Le principal problème concernait la manière dont ces messages étaient relayés d’Android vers l’iPhone. Pour que vos messages apparaissent comme des iMessages sur les appareils iOS de vos amis, vous deviez vous connecter à votre identifiant Apple sur un Mac mini dans la ferme de serveurs de Beeper. Bien que Beeper n’ait pas accès à vos messages, il ne suffirait que d’un seul piratage pour que votre jeton d’identifiant Apple soit volé, exposant ainsi votre compte Apple à quiconque souhaitait le dérober.
La société Nothing a essayé de faire quelque chose de similaire le mois dernier, s’associant à Sunbird pour offrir iMessage sur Android via son application Nothing Chats. Même processus, mêmes préoccupations en matière de sécurité. En fait, Nothing Chats a presque été immédiatement retiré du Play Store, car des chercheurs ont découvert que l’application stockait des identifiants en texte brut. Les pirates pouvaient littéralement lire vos messages avec le code s’ils parvenaient à accéder aux serveurs. Tant pour le chiffrement de bout en bout.
Avec tout ce drame, la promesse d’envoyer des iMessages depuis des appareils Android semblait trompeuse. Donc, lorsque Beeper a annoncé qu’il avait une nouvelle approche du problème, une qui éliminait toutes les préoccupations de sécurité précédentes, j’avais des doutes. J’ai encore mes doutes, mais je dois dire : cela semble prometteur.
Beeper Mini
Mardi, Beeper a annoncé “Beeper Mini”, sa nouvelle approche pour envoyer et recevoir des iMessages sur les appareils Android. Cependant, contrairement à l’application Beeper originale, Beeper Mini ne dépend pas d’un relais Mac pour faire passer des iMessages par les serveurs d’Apple. Au lieu de cela, l’application se connecte et envoie des messages directement aux serveurs d’Apple, imitant la même interaction qu’un iPhone a avec Apple pour alimenter iMessage.
C’est un sacré exploit. Beeper a acheté les travaux d’un chercheur connu sous le nom de jjtech, qui a effectué une ingénierie inverse de la manière dont fonctionne le protocole iMessage d’Apple, et a collaboré avec lui pour créer Mini. Grâce à cela, Beeper Mini est capable de prendre un message que vous envoyez depuis votre Android, de le pousser vers Apple, puis de transmettre le message à sa destination. Cela fonctionne parce qu’Apple “pense” que votre Android est un iPhone. En utilisant un numéro de série Apple valide, Beeper enregistre votre numéro de téléphone auprès des serveurs d’Apple, de sorte que le protocole iMessage vous voit comme une “bulle bleue”. À partir de là, Apple vous voit comme faisant partie de ses utilisateurs et transmettra volontiers vos messages cryptés où ils doivent aller.
Le chiffrement n’est pas affecté ici également : vos clés privées (la technologie nécessaire pour crypter et décrypter vos messages) restent sur votre appareil et ne sont jamais transférées ni à Beeper ni à Apple. Lorsque vous appuyez sur “Envoyer”, Beeper Mini crypte votre message. Il ne sera pas déchiffré avant d’atteindre son destinataire, tout comme un vrai iMessage le fait entre iPhones.
Beeper est fier de cette réalisation et invite les chercheurs en sécurité à examiner de plus près son système. À ce propos, ils encouragent quiconque à essayer la technologie par eux-mêmes : vous pouvez essayer un prototype Python open-source sur votre ordinateur qui fait exactement ce que fait Beeper Mini. Vous pouvez voir cela en action dans la démonstration de Snazzy Lab du service. C’est plutôt fou de voir que n’importe qui peut essentiellement faire fonctionner iMessage en Python, alors qu’Apple a gardé la technologie dans son jardin clos depuis ses débuts.
Une fois que vous êtes opérationnel, vous constaterez que de nombreuses fonctionnalités d’iMessage fonctionnent comme elles le devraient. Bien sûr, vous pouvez envoyer et recevoir des messages, modifier et annuler l’envoi de messages, rejoindre des conversations de groupe sans problème, et envoyer des médias haute résolution à d’autres iPhones. Certaines fonctionnalités spécifiques, comme le partage de localisation, l’intégration de FaceTime et les effets et jeux d’iMessage ne sont pas disponibles, mais j’imagine que la plupart des gens utilisant cette application ne s’en soucieront pas. Ils seront juste heureux de ne pas “gâcher le groupe de discussion”.
Y a-t-il des préoccupations de sécurité ?
Je dois donner un coup de chapeau à Beeper : c’est prometteur. Ni Beeper ni Apple n’ont accès à vos messages, tout le chiffrement a lieu sur l’appareil, et vous n’avez pas besoin de vous connecter à un Mac lointain dans une ferme de serveurs. C’est une énorme amélioration.
Cependant, il y a quelques particularités au service qu’il convient de garder à l’œil. Comme Android ne prend pas en charge le service de notification push d’Apple (APN), Beeper Mini ne peut techniquement pas vous notifier de nouveaux messages sans que vous l’utilisiez activement. Pour contourner cela, Beeper a créé ce qu’il appelle la notification push de Beeper (BPN), qui communique avec les serveurs d’Apple en votre nom pour voir si vous avez de nouveaux messages. Bien que cela commence à faire sonner des alarmes, selon Beeper, le BPN est un service sûr : Apple permet à Beeper de vérifier de nouveaux messages sans avoir besoin des clés de chiffrement nécessaires pour les lire.
Crédit : Beeper
Cela signifie que toutes les BPN ne peuvent que voir si vous avez de nouveaux messages à déchiffrer. Elles ne peuvent pas les lire. Si elle détecte de nouveaux messages, elle se déconnecte de l’APN et alerte l’application Beeper Mini. Maintenant que l’application est éveillée, elle peut récupérer de nouveaux messages comme si vous l’aviez ouverte vous-même, et voilà—Android vous envoie une notification pour les nouveaux iMessages. Beeper sait que cette fonctionnalité pourrait susciter des inquiétudes chez certaines personnes sensibles à la sécurité, donc ils offrent la possibilité de la désactiver, tant que vous êtes d’accord pour ouvrir Beeper Mini manuellement chaque fois que vous souhaitez vérifier de nouveaux messages.
Une autre particularité se présente si vous souhaitez envoyer et recevoir des messages sur un appareil Apple comme un iPad ou un Mac. Votre numéro de téléphone n’est requis que si vous vous en tenez aux téléphones, mais pour associer les autres appareils d’Apple à la fête, vous devez vous connecter à votre identifiant Apple. C’est un peu délicat, car j’adore le fait que Beeper Mini ne nécessite aucune connexion identifiant Apple pour fonctionner initialement. Cependant, c’est le seul moyen de relier votre numéro de téléphone Beeper Mini à un iPad et/ou à un Mac, donc si vous souhaitez connecter tous les appareils ensemble, vous devrez connecter votre identifiant Apple. Je ne suis pas sûr que je le recommanderais, cependant.
En général, je reste un peu prudent à l’égard de la connexion d’un service comme iMessage à travers un tiers. Pas qu’Apple soit parfait, loin de là, mais ils gèrent les choses avec rigueur. En jouant avec les limites de cette situation, vous risquez de tomber dans des problèmes de sécurité. Cependant, de prime abord, la nouvelle application de Beeper est beaucoup plus sécurisée qu’auparavant. Beeper a rendu sa technologie open-source, afin que les chercheurs en sécurité puissent l’analyser à la recherche de vulnérabilités.
Quant à moi, je vais peut-être attendre leurs premières conclusions avant de me lancer dans ce service moi-même. Mais je suis impressionné. C’est, pour ne pas dire, vraiment cool.
De plus, il y a l’argument selon lequel Beeper Mini rend les échanges entre iPhone et Android plus sécurisés. Le SMS est un protocole de messagerie extrêmement peu sécurisé, et Beeper Mini vous offre un cryptage de bout en bout. Ils ont beaucoup d’atouts en ce moment.
Beeper Mini va-t-il réussir ?
Beeper Mini fait également face à certains défis potentiels : Apple n’aimera pas, car cela repose sur un code iMessage décompilé. (Un clin d’œil à vous, jjtech.) Reste à voir s’ils agiront. Apple prévoit également de rendre les échanges de textos entre les appareils iPhone et Android beaucoup plus fluides : Le support RCS arrive fin de l’année prochaine, ce qui place Beeper Mini dans une position délicate. Bien sûr, c’est génial d’avoir une solution iMessage sur Android en 2023, mais que se passe-t-il lorsque les “bulles vertes” ne sont plus si mauvaises en 2024 ? Si les gens peuvent effectivement avoir une expérience de qualité iMessage en envoyant des SMS entre téléphones, peu importe le téléphone que vous avez, les gens voudront-ils encore payer pour que leurs bulles deviennent bleues ?
Le stigmate des bulles vertes est déjà suffisamment mauvais aux États-Unis, où cette réponse pourrait être oui. Mais à mesure qu’il devient beaucoup moins encombrant d’être un utilisateur Android dans un groupe de discussion iPhone, ce stigmate pourrait s’estomper, emportant avec lui le besoin d’un service comme Beeper Mini.
Cependant, en l’état, Apple ne prend pas encore en charge le RCS. Donc, pour l’instant, cela pourrait être votre meilleure option pour un messaging sécurisé et pratique entre votre appareil Android et vos amis iPhone.
Beeper Mini coûte 1,99 $ par mois, après un essai gratuit de 7 jours. Vous pouvez le télécharger depuis le Play Store dès aujourd’hui.
