Beeper affirme avoir réussi l'ingénierie inverse du protocole privé iMessage d'Apple
iMessage est un service de messagerie instantanée développé par Apple et lancé en octobre 2011. Il est présent sur l'ensemble des équipements d'Apple et leur permet d'échanger des messages. Mais iMessage fonctionnent sur un protocole propre à l'écosystème d'Apple, ce qui signifie qu'il n'est pas compatible avec les appareils Android. Il prend toutefois en charge les SMS qui est un standard dans l'industrie. Les iPhone échangent des messages à l'aide d'iMessage, mais basculent vers les SMS lorsqu'ils envoient un message à un appareil Android. Bien que le problème puisse paraitre insignifiant, il fait l'objet d'une grande attention dans la communauté.
Il existe de nombreux projets qui tentent de permettre aux utilisateurs d'Android d'envoyer des iMessage à partir d'un appareil Android. Mais beaucoup d'entre eux ont un fonctionnement discutable qui pourrait compromettre la vie privée et la sécurité des utilisateurs. Mais cette semaine, Beeper, une société qui propose un agrégateur de messagerie multiplateforme, a déclaré avoir rétro-ingéniéré iMessage et qu'elle pourra désormais offrir les mêmes fonctionnalités aux utilisateurs d'Android. En effet, Beeper propose déjà les fonctions d'iMessage, mais s'appuie sur une ferme de serveurs Mac mini pour servir de relais, ce qui représente un coût élevé à supporter.
Pour cela, la société lance une nouvelle application appelée Beeper Mini qui permettra aux utilisateurs d'Android d'envoyer et de recevoir des chats iMessage cryptés de bout en bout pour seulement 1,99 $ par mois. Avec Beeper Mini, l'entreprise affirme qu'elle n'a plus besoin des serveurs Mac mini, ce qui signifie qu'elle ne stocke plus les messages des utilisateurs. L'entreprise estime que Beeper Mini se connecte directement aux serveurs d'Apple, comme le ferait un "vrai" iMessage. « C'est la grande avancée. Nous ne sommes plus un intermédiaire », explique Éric Migicovsky, cofondateur et PDG de Beeper, en parlant de la suppression des serveurs Mac de relais.
Il note : « les recherches que nous avons menées consistent en une rétro-ingénierie du protocole iMessage, jusqu'à la couche la plus basse du protocole. Ainsi, Beeper Mini n'utilise pas un serveur Mac comme relais, comme c'est le cas pour toutes les autres applications - il dispose d'un Mac Mini dans un centre de données quelque part. Lorsque vous envoyez un message, vous l'envoyez en fait au Mac Mini, qui le transmet ensuite à iMessage. En revanche, Beeper Mini est une implémentation native du protocole iMessage ». Il a expliqué que Beeper n'a pas accès au contenu des messages des utilisateurs et que les messages ne sont pas envoyés en texte clair.
« Le message que vous envoyez depuis un téléphone Android à l'aide de Beeper Mini est chiffré de bout en bout jusqu'au destinataire. Il est chiffré sur l'appareil avant de quitter l'application. Les clés de chiffrement sont exclusivement stockées sur votre appareil dans le système de fichiers Android, à l'instar d'autres applications telles que Signal et WhatsApp. L'application ne se connecte à aucun serveur de Beeper, mais uniquement aux serveurs d'Apple, comme le ferait un "vrai" iMessage », affirme la startup. Une personne ayant testé Beeper Mini note : « j'utilise l'application depuis quelques semaines et j'ai été surpris par la fluidité de son fonctionnement ».
Elle ajoute : « les messages envoyés à partir de Beeper Mini sur mon Pixel 8 apparaissent sous forme de bulles bleues sur les iPhone de mes amis et des membres de ma famille. Les discussions de groupe auxquelles je participe ont automatiquement basculé sur iMessage dès que quelqu'un a lancé un mème. Les réactions, les fils de discussion, les photos et les vidéos (sans la compression désordonnée des messages texte) ont tous été transmis. La meilleure chose que je puisse dire à propos de Beeper Mini est que presque personne n'a remarqué que je l'utilisais : des bulles bleues ont commencé à apparaître - aucun message perdu à proprement parler ».
Les préoccupations en matière de vie privée demeurent malgré cette nouvelle approche
Pour Migicovsky Beeper Mini fonctionne comme un client iMessage, prenant en charge les photos et les vidéos en haute résolution, les fils de discussion, les réponses, les accusés de lecture, les messages directs et les discussions de groupe, les réactions en Tapbacks emoji, l'édition et l'annulation des messages, ainsi que la prise en charge des autocollants, des GIF, des notes vocales, etc. Les fonctionnalités telles que le partage de localisation en direct, les effets de message et la prise en charge des appels audio et vidéo FaceTime ne sont pas encore prises en charge. Et les utilisateurs n'auront pas besoin d'un identifiant Apple pour utiliser Beeper Mini.
Beeper Mini vient s'ajouter à une liste croissante d'applications qui tentent d'offrir l'expérience d'iMessage sur Android, mais Migicovsky est catégorique sur le fait que Beeper Mini n'est pas comme les autres services existants. Ces derniers - y compris la précédente application iMessage de Beeper - relaient les messages par le biais d'un Mac hébergé sur le cloud. Cela pose de réels problèmes de sécurité, comme l'ont récemment illustré Sunbird et son spin-off Nothing Chats. L'application Nothing a été lancée et retirée en quatre jours seulement après la découverte de graves problèmes de sécurité ; Sunbird a retiré son application peu de temps après.
Beeper Mini évite certains de ces problèmes parce qu'elle fonctionne d'une manière fondamentalement différents. Selon Migicovsky, l'équipe de Beeper a dû déterminer où envoyer les messages, ce à quoi ils devaient ressembler et la façon de les récupérer sur le cloud. Migicovsky a déclaré que la partie la plus difficile a été de forcer ce qui est essentiellement le cadenas d'Apple sur l'ensemble du système : une vérification pour voir si l'appareil connecté est un produit Apple authentique. Ce qui est encore plus étrange, Migicovsky confié que l'équipe de Beeper Mini s'est basé essentiellement sur les travaux d'un lycéen de 16 ans pour aboutir finalement à ce résultat.
Il a expliqué à un journaliste ce qui suit : « nous avons débridé les iPhone, puis nous avons plongé dans le système d'exploitation pour voir comment tout fonctionnait. Nous avons ensuite écrit un nouveau code à partir de zéro pour tout reproduire dans notre application Android ». Pour répondre aux préoccupations en matière de sécurité, Migicovsky a déclaré que le code de Beeper Mini sera ouvert aux autres utilisateurs. Pour être totalement fiable, Beeper Mini devra faire l'objet d'un audit par une tierce partie. De plus, Beeper utilise l'épinglage de certificats, ce qui rend l'analyse du trafic réseau plus difficile à réaliser pour vérifier ses affirmations.
L'entreprise indique que son audit externe est toujours "en cours", mais qu'elle a effectué un audit interne. Elle publie les résultats sur son blogue, avec une description détaillée et plus technique du fonctionnement de Beeper Mini. Cependant, la grande question est de savoir combien de temps Beeper Mini pourra survivre. Migicovsky pense qu'il est du bon côté de la loi (il fait référence à une exception de la loi sur le droit d'auteur pour l'ingénierie inverse et affirme qu'il n'y a pas de code Apple dans Beeper Mini). Il pense qu'il serait trop difficile pour Apple de couper Beeper sans casser également iMessage pour des légions d'appareils Apple authentiques.
Toutefois, des critiques ont réfuté cette déclaration. L'un d’eux affirme : « je ne suis pas sûr de cela - Apple protège profondément iMessage en tant que mécanisme de verrouillage pour l'iPhone, et il est difficile d'imaginer que l'entreprise ignore pour toujours la vague de solutions iMessage tierces ».
Apple s'apprêterait à adopter le protocole RCS qui est une norme dans l'industrie
L'exemption à la loi sur le droit d'auteur n'empêchera pas Apple d'envoyer à Beeper une lettre de cessation et d'abstention. Apple a déjà poursuivi le fabricant israélien de logiciels espions NSO Group pour l'empêcher d'utiliser ou cibler les services d'Apple. La firme de Cupertino pourrait probablement faire valoir ses droits dans ce cas également, si elle le souhaitait. Toutefois, ce qui pourrait l'empêcher d'agir, c'est la loi sur les services numériques (Digital Markets Act - DMA), une loi européenne qui stipule que les grandes entreprises technologiques (appelée "gatekeepers") devront disposer d'une interface interopérable pour leurs réseaux de discussion.
Des efforts antitrust sont aussi en cours aux États-Unis, où Apple fait l'objet d'une surveillance fédérale, ce qui pourrait constituer un mauvais moment pour s'attaquer à Beeper. Apple pourrait donc ne pas être en mesure de bloquer automatiquement les textes de Beeper Mini si elle voulait prendre des mesures contre la startup, bien que Migicovsky admette que la réaction d'Apple est encore incertaine. Certains internautes critiquent Apple sur le verrouillage des utilisateurs : « utiliser quelque chose comme Beeper Mini donne l'impression d'approuver le jardin clos d'Apple, et de faire une vaine tentative pour s'y intégrer. Je trouve cela fort dommageable ».
Le protocole RCS (Rich Communication Services) est une version améliorée du système SMS qui offre une expérience plus riche aux utilisateurs. Conçu pour remplacer la messagerie SMS et MMS, il permet aux utilisateurs de créer des discussions de groupe avec des amis, d'envoyer des images et des vidéos, d'obtenir des accusés de réception et de prendre en charge le chiffrement de bout en bout. De plus, il n'y a pas de limite de 160 caractères comme avec les SMS ordinaires. RCS est apparu en 2007 et a été adopté par le Global System for Mobile Communications (GSMA) en 2008. Il est disponible pour les utilisateurs du système d'exploitation Android.
Ces dernières années, Google a fait des pieds et des mains pour convaincre Apple d'intégrer le protocole RCS à iMessage, mais jusqu'à présent, le fabricant de l'iPhone s'est montré très réticent à ouvrir les frontières de son service de messagerie. En août 2022, Google a créé un site Web dédié appelant Apple à adopter RCS. Mais la firme de Cupertino est restée fermement décidée à fournir aux utilisateurs uniquement iMessage et les SMS standard comme services par défaut. Une idée qui ne plait pas du tout à Google qui affirme que son but est d'améliorer l'expérience des utilisateurs d'Android en leur fournissant plus d'outils pour communiquer.
Les utilisateurs se plaignent depuis longtemps des bulles vertes qui s'affichent sur iMessage lorsqu'un propriétaire d'iPhone et un propriétaire d'Android échangent des SMS, ce qui a conduit Google à faire goûter à Apple sa propre médecine avec une récente mise à jour de son application Messages. Désormais, lorsque les utilisateurs de Messages réagissent à un SMS, l'utilisateur de l'iPhone recevra un texte indiquant que la personne a réagi à son texte, accompagné d'une description de la réaction, comme "j'ai aimé" ou "j'ai adoré" un message, au lieu de voir le pouce levé ou le cœur apparaître sur le message. Ce qui est un pic à l'endroit d'Apple.
Lors d'un événement en septembre de l'année dernière, un participant propriétaire d'un iPhone a interpellé Cook sur les problèmes liés aux vidéos envoyées entre lui et sa mère propriétaire d'un Android. Cook a répondu : « achète un iPhone à ta mère ». Selon la rumeur, Apple considère que "déplacer iMessage vers Android fera plus de mal que de bien à la firme de Cupertino". Mais des rapports non officiels suggèrent qu’Apple envisage de prendre en charge une version universelle de RCS sans le chiffrement propriétaire de Google.
Source : Beeper
Et vous ?
Quel est votre avis sur le sujet ? Avez-vous une expérience avec Beeper ?
Que pensez-vous de la potentielle rétro-ingénierie d’iMessage ? L'affirmation est-elle crédible ?
Que pensez-vous de l'affirmation selon laquelle l'approche répond aux préoccupations en matière de sécurité ?
Que pensez-vous des avis critiquant l'adoption des outils comme Beeper Mini ? Cela donne-t-il plus de pouvoir à Apple ?
Pourquoi la résolution des soucis de compatibilité des messages texte entre Android et iOS est-il si important pour les utilisateurs ?
Pensez-vous qu'Apple envisagera un jour d'adopter le protocole RCS ? Pourquoi l'entreprise refuse-t-elle de le faire à l'heure actuelle ?
Pensez-vous que la DMA pourrait obliger Apple à ouvrir davantage son jardin clos ? Pourquoi ?
Voir aussi
Un grand panneau publicitaire de Google demande à Apple de corriger les photos et vidéos "pixellisées" dans les messages échangés entre iPhone et Android, en adoptant le protocole de messagerie RCS
« Achète un iPhone à ta mère », lance Tim Cook à un journaliste à propos des soucis de compatibilité des messages texte entre Android et iOS, car Apple ne veut ni adopter RCS, ni céder iMessage
Le coup de gueule d'un cadre de Google à l'encontre d'Apple concernant le protocole de messagerie RCS entre l'iPhone et Android, a suscité des applaudissements lors d'une conférence