Il s’avère que les entreprises qui refusent de répondre aux questions de sécurité des médias ne sont en fait pas bonnes en matière de sécurité. Mardi dernier, Nothing Chats – une application de chat de l’ fabricant d’Android « Nothing » et de la jeune entreprise Sunbird – a prétendu pouvoir pirater le protocole iMessage d’Apple et donner aux utilisateurs Android des bulles bleues. Nous avons immédiatement signalé Sunbird comme une entreprise qui faisait des promesses vides depuis presque un an et semblait négliger la sécurité. L’application a quand même été lancée vendredi et a été immédiatement déchirée par Internet pour de nombreux problèmes de sécurité. Ce n’a pas duré 24 heures; Nothing a retiré l’application du Play Store samedi matin. L’application Sunbird, à laquelle Nothing Chat n’est qu’une reskin, a également été mise « en pause ». La vente initiale de cette application – qu’elle vous connecterait à iMessage sur Android si vous lui donniez votre nom d’utilisateur et votre mot de passe Apple – était un drapeau rouge de sécurité énorme, ce qui signifiait que Sunbird aurait besoin d’une infrastructure ultra-sécurisée pour éviter un désastre. Au lieu de cela, l’application s’est avérée être aussi peu sécurisée que nous l’avions prévu. Voici la déclaration de Nothing: À quel point les problèmes de sécurité sont-ils mauvais? Les deux 9to5Google et Text.com (dont le propriétaire est Automattic, l’entreprise derrière WordPress) ont découvert des pratiques de sécurité choquantes. Non seulement l’application n’était pas chiffrée de bout en bout, comme l’ont affirmé à plusieurs reprises Nothing et Sunbird, mais Sunbird enregistrait et stockait en texte clair les messages sur le logiciel de signalement d’erreurs Sentry et dans une base de données Firebase. Les jetons d’authentification étaient envoyés sur HTTP non chiffré, de sorte que ce jeton pouvait être intercepté et utilisé pour lire vos messages. Text.com a publié une application de preuve de concept qui pouvait récupérer vos messages supposément chiffrés de bout en bout à partir des serveurs Sunbird. Batuhan Içöz, ingénieur produit pour Text.com, a également publié un outil qui supprimera certaines de vos données des serveurs Sunbird. Içöz recommande aux utilisateurs de Sunbird / Nothing Chat de changer maintenant leur mot de passe Apple, de révoquer la session Sunbird et « d’assumer que vos données ont déjà été compromises ».
« Les livres de Penguin Random House disent maintenant explicitement ‘non’ à la formation IA »
‘Écrit par Emma Roth, dont le portfolio couvre aussi bien les percées technologiques grand public, les dynamiques de l’industrie du