Beeper affirme avoir rétro-ingéniéré iMessage afin d'apporter des textes à bulles bleues aux utilisateurs d'Android,

Mais l'approche suscite toujours des préoccupations liées à la vie privée

Beeper, une startup travaillant sur un agrégateur de messagerie multiplateforme, dit avoir trouvé le moyen de résoudre les soucis de compatibilité des messages texte entre Android et iOS. La startup propose Beeper Mini, une application de messagerie qui prendrait en charge iMessage sur les appareils Android. Des testeurs l'ayant essayé affirment que l'application fonctionne "plutôt bien" et Beeper ajoute qu'elle est beaucoup plus respectueuse de la vie privée que les autres alternatives. La société affirme que Beeper Mini a été rendu possible parce que l'équipe à l'origine de l'application a réussi à faire l'ingénierie inverse du protocole iMessage d'Apple.

Beeper affirme avoir réussi l'ingénierie inverse du protocole privé iMessage d'Apple

iMessage est un service de messagerie instantanée développé par Apple et lancé en octobre 2011. Il est présent sur l'ensemble des équipements d'Apple et leur permet d'échanger des messages. Mais iMessage fonctionnent sur un protocole propre à l'écosystème d'Apple, ce qui signifie qu'il n'est pas compatible avec les appareils Android. Il prend toutefois en charge les SMS qui est un standard dans l'industrie. Les iPhone échangent des messages à l'aide d'iMessage, mais basculent vers les SMS lorsqu'ils envoient un message à un appareil Android. Bien que le problème puisse paraitre insignifiant, il fait l'objet d'une grande attention dans la communauté.


Il existe de nombreux projets qui tentent de permettre aux utilisateurs d'Android d'envoyer des iMessage à partir d'un appareil Android. Mais beaucoup d'entre eux ont un fonctionnement discutable qui pourrait compromettre la vie privée et la sécurité des utilisateurs. Mais cette semaine, Beeper, une société qui propose un agrégateur de messagerie multiplateforme, a déclaré avoir rétro-ingéniéré iMessage et qu'elle pourra désormais offrir les mêmes fonctionnalités aux utilisateurs d'Android. En effet, Beeper propose déjà les fonctions d'iMessage, mais s'appuie sur une ferme de serveurs Mac mini pour servir de relais, ce qui représente un coût élevé à supporter.

Pour cela, la société lance une nouvelle application appelée Beeper Mini qui permettra aux utilisateurs d'Android d'envoyer et de recevoir des chats iMessage cryptés de bout en bout pour seulement 1,99 $ par mois. Avec Beeper Mini, l'entreprise affirme qu'elle n'a plus besoin des serveurs Mac mini, ce qui signifie qu'elle ne stocke plus les messages des utilisateurs. L'entreprise estime que Beeper Mini se connecte directement aux serveurs d'Apple, comme le ferait un "vrai" iMessage. « C'est la grande avancée. Nous ne sommes plus un intermédiaire », explique Éric Migicovsky, cofondateur et PDG de Beeper, en parlant de la suppression des serveurs Mac de relais.

Il note : « les recherches que nous avons menées consistent en une rétro-ingénierie du protocole iMessage, jusqu'à la couche la plus basse du protocole. Ainsi, Beeper Mini n'utilise pas un serveur Mac comme relais, comme c'est le cas pour toutes les autres applications - il dispose d'un Mac Mini dans un centre de données quelque part. Lorsque vous envoyez un message, vous l'envoyez en fait au Mac Mini, qui le transmet ensuite à iMessage. En revanche, Beeper Mini est une implémentation native du protocole iMessage ». Il a expliqué que Beeper n'a pas accès au contenu des messages des utilisateurs et que les messages ne sont pas envoyés en texte clair.

« Le message que vous envoyez depuis un téléphone Android à l'aide de Beeper Mini est chiffré de bout en bout jusqu'au destinataire. Il est chiffré sur l'appareil avant de quitter l'application. Les clés de chiffrement sont exclusivement stockées sur votre appareil dans le système de fichiers Android, à l'instar d'autres applications telles que Signal et WhatsApp. L'application ne se connecte à aucun serveur de Beeper, mais uniquement aux serveurs d'Apple, comme le ferait un "vrai" iMessage », affirme la startup. Une personne ayant testé Beeper Mini note : « j'utilise l'application depuis quelques semaines et j'ai été surpris par la fluidité de son fonctionnement ».

Elle ajoute : « les messages envoyés à partir de Beeper Mini sur mon Pixel 8 apparaissent sous forme de bulles bleues sur les iPhone de mes amis et des membres de ma famille. Les discussions de groupe auxquelles je participe ont automatiquement basculé sur iMessage dès que quelqu'un a lancé un mème. Les réactions, les fils de discussion, les photos et les vidéos (sans la compression désordonnée des messages texte) ont tous été transmis. La meilleure chose que je puisse dire à propos de Beeper Mini est que presque personne n'a remarqué que je l'utilisais : des bulles bleues ont commencé à apparaître - aucun message perdu à proprement parler ».

Les préoccupations en matière de vie privée demeurent malgré cette nouvelle approche

Pour Migicovsky Beeper Mini fonctionne comme un client iMessage, prenant en charge les photos et les vidéos en haute résolution, les fils de discussion, les réponses, les accusés de lecture, les messages directs et les discussions de groupe, les réactions en Tapbacks emoji, l'édition et l'annulation des messages, ainsi que la prise en charge des autocollants, des GIF, des notes vocales, etc. Les fonctionnalités telles que le partage de localisation en direct, les effets de message et la prise en charge des appels audio et vidéo FaceTime ne sont pas encore prises en charge. Et les utilisateurs n'auront pas besoin d'un identifiant Apple pour utiliser Beeper Mini.


Beeper Mini vient s'ajouter à une liste croissante d'applications qui tentent d'offrir l'expérience d'iMessage sur Android, mais Migicovsky est catégorique sur le fait que Beeper Mini n'est pas comme les autres services existants. Ces derniers - y compris la précédente application iMessage de Beeper - relaient les messages par le biais d'un Mac hébergé sur le cloud. Cela pose de réels problèmes de sécurité, comme l'ont récemment illustré Sunbird et son spin-off Nothing Chats. L'application Nothing a été lancée et retirée en quatre jours seulement après la découverte de graves problèmes de sécurité ; Sunbird a retiré son application peu de temps après.

Beeper Mini évite certains de ces problèmes parce qu'elle fonctionne d'une manière fondamentalement différents. Selon Migicovsky, l'équipe de Beeper a dû déterminer où envoyer les messages, ce à quoi ils devaient ressembler et la façon de les récupérer sur le cloud. Migicovsky a déclaré que la partie la plus difficile a été de forcer ce qui est essentiellement le cadenas d'Apple sur l'ensemble du système : une vérification pour voir si l'appareil connecté est un produit Apple authentique. Ce qui est encore plus étrange, Migicovsky confié que l'équipe de Beeper Mini s'est basé essentiellement sur les travaux d'un lycéen de 16 ans pour aboutir finalement à ce résultat.

Il a expliqué à un journaliste ce qui suit : « nous avons débridé les iPhone, puis nous avons plongé dans le système d'exploitation pour voir comment tout fonctionnait. Nous avons ensuite écrit un nouveau code à partir de zéro pour tout reproduire dans notre application Android ». Pour répondre aux préoccupations en matière de sécurité, Migicovsky a déclaré que le code de Beeper Mini sera ouvert aux autres utilisateurs. Pour être totalement fiable, Beeper Mini devra faire l'objet d'un audit par une tierce partie. De plus, Beeper utilise l'épinglage de certificats, ce qui rend l'analyse du trafic réseau plus difficile à réaliser pour vérifier ses affirmations.

L'entreprise indique que son audit externe est toujours "en cours", mais qu'elle a effectué un audit interne. Elle publie les résultats sur son blogue, avec une description détaillée et plus technique du fonctionnement de Beeper Mini. Cependant, la grande question est de savoir combien de temps Beeper Mini pourra survivre. Migicovsky pense qu'il est du bon côté de la loi (il fait référence à une exception de la loi sur le droit d'auteur pour l'ingénierie inverse et affirme qu'il n'y a pas de code Apple dans Beeper Mini). Il pense qu'il serait trop difficile pour Apple de couper Beeper sans casser également iMessage pour des légions d'appareils Apple authentiques.

Toutefois, des critiques ont réfuté cette déclaration. L'un d’eux affirme : « je ne suis pas sûr de cela - Apple protège profondément iMessage en tant que mécanisme de verrouillage pour l'iPhone, et il est difficile d'imaginer que l'entreprise ignore pour toujours la vague de solutions iMessage tierces ».

Apple s'apprêterait à adopter le protocole RCS qui est une norme dans l'industrie

L'exemption à la loi sur le droit d'auteur n'empêchera pas Apple d'envoyer à Beeper une lettre de cessation et d'abstention. Apple a déjà poursuivi le fabricant israélien de logiciels espions NSO Group pour l'empêcher d'utiliser ou cibler les services d'Apple. La firme de Cupertino pourrait probablement faire valoir ses droits dans ce cas également, si elle le souhaitait. Toutefois, ce qui pourrait l'empêcher d'agir, c'est la loi sur les services numériques (Digital Markets Act - DMA), une loi européenne qui stipule que les grandes entreprises technologiques (appelée "gatekeepers" devront disposer d'une interface interopérable pour leurs réseaux de discussion.


Des efforts antitrust sont aussi en cours aux États-Unis, où Apple fait l'objet d'une surveillance fédérale, ce qui pourrait constituer un mauvais moment pour s'attaquer à Beeper. Apple pourrait donc ne pas être en mesure de bloquer automatiquement les textes de Beeper Mini si elle voulait prendre des mesures contre la startup, bien que Migicovsky admette que la réaction d'Apple est encore incertaine. Certains internautes critiquent Apple sur le verrouillage des utilisateurs : « utiliser quelque chose comme Beeper Mini donne l'impression d'approuver le jardin clos d'Apple, et de faire une vaine tentative pour s'y intégrer. Je trouve cela fort dommageable ».

Le protocole...