Beeper n’est pas une solution sûre pour iMessaging sur Android

Il est tentant d’utiliser Beeper pour iMessage sur Android, mais ce n’est pas sûr.

Vous avez peut-être vu du buzz en ligne à propos de Beeper, une solution tout-en-un qui regroupe toutes vos applications de messagerie en un seul endroit. Selon l’entreprise, vous n’avez plus besoin de jongler avec un grand nombre d’applications simplement pour rester en contact avec vos amis, votre famille et votre travail : avec Beeper, vous pouvez conserver ces discussions au même endroit et même envoyer des messages à vos amis depuis Android.

Ce dernier point serait particulièrement révolutionnaire. Bien sûr, ce serait génial d’envoyer des messages à tous mes amis à partir d’une seule application, mais un moyen simple d’iMessage sur Android ? Or. Vous pourriez vous procurer un Galaxy Z Flip, quelque chose totalement différent de l’iPhone standard que nous connaissons tous, mais jamais apparaît sous forme de bulle verte pour toute personne sur la plate-forme. Incroyable.

Mais voici le problème : Beeper fonctionne absolument, et ceci peut être votre réalité, mais au prix d’un lourd tribut pour votre sécurité. À mon avis, cela n’en vaut tout simplement pas la peine.

Comment fonctionne Beeper

Aussi complexe soit-il, Beeper est une machine étonnamment simple. Il repose sur deux parties : la première est l’application client, disponible sur Mac, Windows, Linux, Chrome OS, iOS et Android. Il s’agit du programme que vous utilisez pour regrouper vos différentes applications de chat en un seul endroit. L’autre partie est le service lui-même, que Beeper gère sur le backend.

Ce service est construit sur Matrix, une norme de messagerie open source et décentralisée. Comme d’autres systèmes décentralisés, Matrix vous permet d’envoyer librement des messages à d’autres personnes, quelle que soit la plateforme que vous utilisez. Vous pouvez tous les deux utiliser Matrix, ou vous pouvez créer un « pont » pour connecter votre standard Matrix à la plate-forme de votre choix. Cela nécessitait un certain savoir-faire dans le passé, mais Beeper rend la tâche aussi simple que la configuration de n’importe quelle autre application de chat.

Lorsque vous configurez un nouveau service de chat avec Beeper, il crée l’un de ces ponts pour connecter votre client à cette application. Le travail du pont est de relayer les messages, et chaque plateforme de discussion possède son propre pont. Voilà, en un très bref résumé, comment fonctionnent les bases de Beeper.

Beeper ne peut pas gérer de manière sécurisée le cryptage de bout en bout avec la plupart des applications de chat

Bien sûr, les choses se compliquent lorsque l’on intègre le cryptage. Le cryptage varie d’une plateforme à l’autre, mais certains services, comme iMessage, Signal et WhatsApp, sont entièrement cryptés de bout en bout (E2EE). Beeper lui-même est un E2EE entre les autres utilisateurs de Beeper et Matrix : tout message que vous envoyez à quelqu’un utilisant le client Beeper ou Matrix de quelque manière que ce soit est protégé. Bonnes nouvelles!

Mais la bonne nouvelle s’arrête là. Comme la plupart de vos amis n’utiliseront pas Beeper, vous devrez envoyer votre message de Beeper directement à la plateforme de leur choix. Concentrons-nous sur iMessage pour cet exemple, car de nombreuses personnes seront probablement intéressées par Beeper pour utiliser le protocole de messagerie d’Apple sur Android, mais la plupart des éléments essentiels ici s’appliquent également à WhatsApp et Signal.

Pour que iMessage soit opérationnel sur Beeper, vous devez autoriser Beeper à accéder à votre compte Apple. C’est un énorme risque de sécurité en soi, et vos appareils Apple vous en avertiront immédiatement : lorsque vous connectez Beeper à iMessage, vous recevrez une alerte de sécurité indiquant que quelqu’un à un autre endroit tente de se connecter à votre compte Apple. C’est l’un des Mac de Beeper, auquel vous devrez donner l’autorisation si vous souhaitez relier vos iMessages à votre client Beeper. Certains pourraient y voir un échange intéressant, mais je fixe la limite ici.

Mais ce n’est pas la fin des problèmes de sécurité. Lorsque vous envoyez un message de Beeper à un contact sur iMessage, ce message est crypté sur votre appareil, envoyé au service Web de Beeper, décrypté et rechiffrépuis envoyé à votre ami. Fondamentalement, Beeper doit d’abord « ouvrir » votre iMessage afin de l’envoyer. Cela est nécessaire pour que ce service fonctionne, car des plateformes comme iMessage, WhatsApp et Signal disposent de protocoles de cryptage propriétaires qui ne communiquent pas avec d’autres plateformes, comme Beeper ou Matrix. Cependant, c’est un énorme faille de sécurité, car elle brise l’E2EE sur lequel ces services sont construits.

Lorsque vous envoyez un iMessage à un ami sur votre iPhone, ce message est protégé de tout le monde sauf vous deux. La seule façon de décrypter et de lire ce message est d’avoir accès à l’un de vos appareils connectés. Pour tous les intercepteurs, tout, depuis un mème amusant jusqu’à votre numéro de sécurité sociale, ressemble à un mélange confus de calculs inintelligibles. C’est E2EE au travail.

En décryptant le message sur les serveurs de Beeper, les employés de Beeper peuvent lire vos messages. Mais même s’ils jurent de ne jamais regarder les messages des utilisateurs, cela n’a pas d’importance, car si Beeper est un jour piraté, les mauvais acteurs auront accès à tous les iMessages entrants et sortants. (Et je te le promets, ils les lira.) Bien sûr, une fois qu’un message est traité et rechiffré, personne ne peut le lire à l’exception des parties prévues, mais ce maillon faible au milieu va à l’encontre de l’objectif de l’ensemble de la conception « de bout en bout ».

Imaginez qu’il y a un tigre dans votre salon. Vous êtes dans votre chambre, où il n’y a pas de tigre, et vous devez vous rendre à la salle de bain, qui est également sans tigre. Juste parce que ces deux pièces sont à l’abri du tigre, cela ne veut pas dire qu’il est sécuritaire de traverser la pièce avec le tigre pour y arriver. Bien sûr, il y a un gardien de tigre qui jure ils garderont cette chose sur une chaîne. Mais si quelqu’un se faufilait à l’intérieur et lâchait silencieusement le tigre, ce tigre aura accès à vos iMessages non cryptés.

Beeper n’est pas si mauvais avec le cryptage

L’histoire est meilleure pour les données stocké sur les serveurs de Beeper, le tout crypté. Cela inclut vos historiques de messages. Beeper ne peut pas lire ces données parce que c’est E2EE. La seule façon d’y accéder est d’utiliser le code de récupération que vous recevez lors de la création de votre compte. Cela vous permet d’accéder en toute sécurité à vos données sur d’autres appareils et signifie également que Beeper ne peut pas vous aider à récupérer ces données si vous perdez cette clé.

Il y a aussi de l’espoir pour l’avenir : Beeper mentionne que la nouvelle législation européenne obligera des entreprises comme Apple et Meta à créer des API interopérables et cryptées de bout en bout. En bref, ce changement pourrait permettre à un service comme Beeper de préserver E2EE sur ses ponts, ce qui protégerait vos iMessages pendant le transit. Dans l’état actuel des choses, cependant, le service n’est tout simplement pas sûr : il utilise des protocoles de messagerie protégés et les expose à quiconque souhaite les consulter. Vous pensez peut-être que cela vaut le risque d’avoir iMessage disponible sur Android, mais pour tous ceux qui accordent de l’importance à leur confidentialité et à leur sécurité, Beeper n’est pas la solution, du moins pas encore.