Beeper n’est pas une solution sûre pour les iMessage sur Android. Bien que ce soit tentant, l’app fait disparaître tout l’intérêt du chiffrement de bout en bout.
Vous avez peut-être déjà entendu de Beeper, une solution tout-en-un pour vos services de messagerie. Selon l’entreprise, il n’y a plus besoin de jongler entre plusieurs apps pour rester en contact avec vos amis, votre famille et vos collègues : avec Beeper, vous pouvez regrouper toutes vos conversations en un endroit, et même profiter d’iMessage depuis Android.
Ce dernier point serait particulièrement intéressant, révolutionnaire même. Et Beeper fonctionne. Ceci peut être votre réalité de tous les jours, mais au prix de votre sécurité. Le jeu n’en vaut probablement pas la chandelle.
Le fonctionnement de Beeper est plutôt simple. Il y a d’un côté l’app client, disponible sur Mac, Windows, Linux, Chroms OS, iOS et Android. C’est le programme que vous utilisez pour centraliser toutes vos conversations. De l’autre côté, le service en lui-même, le backend. Celui-ci repose sur Matrix, un standard de messagerie open-source et décentralisé. Ce dernier permet de converser avec d’autres personnes indépendamment de la plateforme que vous utilisez. Vous pouvez utiliser tous deux Matrix ou créer un “pont” pour connecter votre standard Matrix à la plateforme de votre choix. C’est ce point que vient grandement simplifier Beeper.
Lorsque vous créez un nouveau service de messagerie avec Beeper, celui-ci crée un pont pour connecter votre client avec cette app. Le travail de ce pont est de relayer les messages et chaque plateforme a son propre pont. Voilà pour le fonctionnement général, très résumé.
Beeper ne peut gérer le chiffrement de bout-en-bout avec la majorité des apps de messagerie
Les choses se compliquent lorsque l’on parle de chiffrement. Celui-ci varie d’une plateforme à une autre. Certaines – iMessage, Signal, WhatsApp – sont chiffrées de bout en bout (E2EE). Beeper en lui-même est chiffré de bout en bout entre les utilisateurs Beeper et Matrix : tous les messages que vous envoyez à quelqu’un utilisant le client Beeper ou Matrix sont protégés.
Mais la plupart de vos contacts n’utiliseront pas Beeper. Vous devrez donc envoyer vos messages depuis Beeper directement sur leur plateforme. Concentrons-nous sur iMessage dans notre exemple, puisque vous êtes certainement intéressé(e) d’utiliser Beeper pour profiter du protocole de messagerie d’Apple sur Android, mais cela s’applique aussi pour WhatsApp et Signal.
Pour profiter d’iMessage sur Beeper, il faut donner l’accès à Beeper à votre compte Apple. C’est déjà un gros risque de sécurité et vos appareils Apple vous avertiront de cela. Lorsque vous connectez Beeper à iMessage, vous recevrez une alerte de sécurité indiquant que quelqu’un tente de se connecter à votre compte Apple. C’est l’un des Mac de Beeper, auquel vous devez donner la permission si vous voulez bâtir un pont entre vos iMessages et votre client Beeper. Et vous pourriez être tenté(e) de le faire.
Mais les soucis ne s’arrêtent pas là. Lorsque vous envoyez un message de Beeper à un contact sur iMessage, ce message est chiffré sur votre appareil, envoyé au service web de Beeper, déchiffré et rechiffré puis transmis à votre contact. Beeper doit “ouvrir” votre iMessage pour pouvoir l’envoyer. En effet, des plateformes comme iMessage, WhatsApp et Signal utilisent des protocoles de chiffrement propriétaires qui ne communiquent pas avec les autres plateformes, comme Beeper ou Matrix. Cependant, c’est une énorme faille de sécurité puisqu’elle vient faire sauter l’E2EE.
Lorsque vous envoyez un iMessage à un ami sur votre iPhone, ce message n’est visible que par vous deux. Le seul moyen de déchiffrer et lire ce message est d’avoir accès à l’un de vos appareils connectés. Pour tous les yeux indiscrets, ce ne sera qu’une bouillie de caractères illisibles.
En déchiffrant le message sur ses serveurs, les employés de Beeper peuvent lire vos messages. Et même s’ils jurent de ne pas le faire, cela importe peu. Dans l’éventualité d’un piratage de Beeper, les hackers auraient accès à tous les messages entrant et sortant de iMessages. Et eux les liront. Et une fois un message traité et rechiffré, personne ne peut plus le lire outre que l’expéditeur et son destinataire, mais le maillon faible au milieu brise tout l’intérêt du E2EE.
Beeper n’est pas totalement mauvais avec le chiffrement
La situation est meilleure en ce qui concerne les données sur les serveurs de Beeper : celles-ci sont toutes chiffrées. Cela inclut votre historique de messages. Beeper ne peut lire vos messages parce que ceux-ci sont chiffrés de bout en bout. Le seul moyen d’y accéder, c’est avec le Code de Recupération que vous recevez à la création de votre compte. Cela vous permet d’accéder de manière sécuriser à vos données sur d’autres appareils et cela signifie aussi que Beeper ne peut vous aider à récupérer vos données si vous perdez cette clef.
Il y a aussi de l’espoir pour le futur : Beeper précise que la nouvelle législation européenne obligera les entreprises comme Apple et Meta à créer des API chiffrées de bout en bout interopérables. Autrement dit, cela pourrait permettre à un service comme Beeper de préserver l’E2EE via ses ponts, ce qui permettrait de garder vos iMessages protégés en toutes circonstances. Pour l’heure cependant, le service n’est pas sûr : il utilise des protocoles de messagerie protégés et les expose à quiconque voudrait voir. Vous pourriez penser que le jeu en vaut la chandelle pour profiter d’iMessage sur Android, mais pour celles et ceux qui tiennent tant soit peu à leur confidentialité et leur sécurité, Beeper n’est pas une solution. Pas encore, à tout le moins.
Source link
