Le lancement récent de la nouvelle application de messagerie de Nothing, Nothing Chats, conçue pour apporter une version d'iMessage d'Apple sur Android, s'est déroulé comme un ballon de plomb. Un jour seulement après sa mise en ligne sur le Google Play Store, Nothing a retiré l'application en raison de graves problèmes de sécurité. Aujourd’hui, deux autres vulnérabilités seraient apparues.

Comme l'a repéré Android Authority, le développeur Android et rétro-ingénieur Dylan Roussel, qui avait déjà dénoncé des problèmes de sécurité avec Nothing Chats et la plate-forme Sunbird sur laquelle il est construit, a récemment partagé sur X deux vulnérabilités supplémentaires centrées sur l’infrastructure de Nothing.

La première remonte à septembre et a été découverte dans l’application CMF Watch, qui aurait été développée en partenariat avec Nothing et une société appelée Jingxun. Selon Roussel, même si l'application a réussi à chiffrer les informations de courrier électronique et de mot de passe, la méthode de chiffrement utilisée n'était pas sécurisée. Toute personne ayant accès aux mêmes clés de décryptage disposerait de tous les outils nécessaires pour décrypter les informations, ce qui irait à l’encontre de l’objectif de leur chiffrement initial.

Roussel a déclaré que Nothing/Jingxun avait depuis corrigé cette vulnérabilité, mais que le correctif ne fonctionne apparemment que pour les mots de passe. Vous pourriez toujours décrypter l’adresse e-mail utilisée comme nom d’utilisateur de quelqu’un.

Quant à la deuxième vulnérabilité, les détails exacts n'ont pas été rendus publics, mais elle serait liée aux données internes de Nothing. La société en a été informée en août et le problème n’est toujours pas corrigé.

Dans une déclaration à Android Authority, un porte-parole de Nothing a déclaré que la société travaillait actuellement à résoudre les problèmes :

« CMF prend les problèmes de confidentialité très au sérieux et l'équipe enquête sur les problèmes de sécurité concernant l'application Watch. Nous avons corrigé les problèmes d'identification initiaux plus tôt dans l'année et travaillons actuellement à résoudre les problèmes soulevés. Dès que ce prochain correctif sera terminé, nous lancerons une mise à jour OTA à tous les utilisateurs de CMF Watch Pro. »

Le représentant a ajouté que les rapports de sécurité sont désormais plus faciles à soumettre sur la page de rapport sur les vulnérabilités de sécurité du CMF.

Roussel a déjà révélé comment Sunbird, la plate-forme sur laquelle Nothing Chats est construit, fonctionne en déchiffrant et en transmettant des messages via HTTP à un serveur de synchronisation cloud Firebase et en les stockant en texte brut non crypté. Ainsi, les messages Sunbird sont visibles publiquement via la base de données en temps réel Firebase, et non cryptés. Il a également noté que Sunbird a également accès à ces messages, puisqu'ils sont enregistrés comme erreurs par le service de débogage Sentry.

La page officielle Nothing Chats confirme que l'application bêta a été retirée du Play Store, et la société annonce désormais qu'elle « retardera le lancement jusqu'à nouvel ordre » en attendant la correction de « plusieurs bugs ».

L’un des principaux arguments de vente d’iMessage est qu’il propose par défaut un cryptage de bout en bout. Apple a cité une sécurité supplémentaire comme l'une des raisons pour lesquelles elle adoptera la norme de messagerie RCS l'année prochaine. Dans les deux cas, vos messages sont sécurisés et inaccessibles aux tiers, y compris Apple. Au lieu de cela, Nothing promettait un cryptage de bout en bout, pour ensuite stocker les textes publiquement en clair. C'est tout un tâtonnement – ​​et il reste à voir si c'en est un dont rien ne peut se remettre.