Cela n’aura pas pris longtemps. Vingt-quatre heures à peine après son lancement, l’application iMessage bricolée par Nothing a été retirée du Google Play Store en raison de soucis de sécurité.
Il fallait s’y attendre, contourner les restrictions d’Apple pour essayer de lancer un client iMessage sur Android est une mauvaise idée. L’entreprise londonienne Nothing, qui commercialise le Phone (2), avait fait grand bruit la semaine dernière en annonçant qu’elle allait officiellement rendre son mobile compatible avec la messagerie d’Apple grâce à une application dédiée. Le lendemain de son lancement, le logiciel avait disparu du Play Store et Nothing indiquait « retarder le lancement […] pour corriger des bugs ».
Un cauchemar pour la vie privée
Comme les notes de la communauté l’indiquent sous le tweet de Nothing, le terme « bug » est ici un bel euphémisme. Dans un long thread explicatif, le développeur Dylan Roussel a cloué au pilori l’application Nothing Chats à cause de sa conception très (très) laxiste de la sécurité des données.
Sunbird, le partenaire de Nothing pour le lancement de l’application, a en effet accès à tous les messages envoyés et reçus depuis l’application. L’entreprise, qui relaie les messages grâce à la virtualisation de machines macOS sur ses serveurs, abuse de sa politique de log (pensée pour relever les potentiels bugs) pour enregistrer le contenu des messages qui transitent sur sa plateforme. Cela ne se limite pas qu’au contenu texte, les photos, vidéos et autres contenus multimédias sont également enregistrés sur les serveurs de Sunbird.
Le RGPD en embuscade
Pour ne rien arranger, les médias de tous les utilisateurs et utilisatrices étaient en réalité accessibles publiquement et en temps réel, pour qui savait où chercher. Oui, oui, vous avez bien lu, tout le contenu des messages transitant par Sunbird (même ceux de personnes tierces) était disponible publiquement. Cela concerne également les vCards, ces données personnelles échangées au moment d’initier une conversation et qui contiennent le numéro de téléphone et l’adresse iCloud de l’expéditeur et du destinataire des messages.
Contrairement à ce qu’affirmait Sunbird et Nothing donc, le contenu des messages n’est absolument pas chiffré et l’application faisait donc fuiter des informations personnelles dans tous les sens (en employant entre autres des requêtes HTTP), en plus de conserver une copie des messages envoyés et reçus. Supprimer l’application était donc la moindre des choses à faire et nul doute que les deux entreprises vont rapidement devenir familières des sanctions prévues par le RGPD pour ce genre de pratiques.
Source : AppleInsider, Dylan Roussel - Twitter
. Cela dit, ils prouvent régulièrement leur incompétence dans de multiples domaines, surtout dans le cas de Nothing : lancements ratés, produits ne tenant pas leur promesse, tentative désespérée de créer un faux buzz lors de lancements, déconnexion complète de la réalité du marché, etc…
