Les applications de messagerie dites « sécurisées » le sont-elles vraiment, ou est-ce seulement un argument marketing destiné à rassurer les utilisateurs ? À une époque où la confidentialité numérique semble de plus en plus illusoire, peut-on encore croire sur parole les promesses faites sur les sites web de ces services ?
C’est la question qu’on se pose en découvrant l’histoire de Freedom Chat. Lancée en juin et présentée comme une solution de messagerie ultra-protégée, cette application prétendait garder les numéros de téléphone de ses utilisateurs secrets. Peut-on se fier à de telles assurances quand aucune procédure de divulgation des vulnérabilités — une pratique pourtant standard dans le secteur — n’existe ?
L’affaire commence avec le chercheur en sécurité Eric Daigle. Intrigué par le manque de clarté autour du service, il décide de mettre Freedom Chat à l’épreuve. Les failles qu’il découvre sont inquiétantes : non seulement il parvient à deviner facilement les numéros de téléphone de près de 2 000 utilisateurs, mais il révèle aussi que les codes PIN censés protéger l’accès à l’application étaient accessibles à d’autres membres. Comment expliquer que de telles vulnérabilités puissent subsister dans une application se revendiquant sûre ?
L’enquête d’un chercheur a mis au jour des failles majeures dans une app vendue comme « sécurisée », forçant des mises à jour urgentes et jetant le doute sur les promesses de confidentialité.
Contactée via TechCrunch, qui a servi d’intermédiaire en l’absence d’un canal de signalement officiel, la direction de Freedom Chat assure avoir corrigé ces failles : remise à zéro générale des codes PIN, suppression des affichages accidentels de numéros dans l’interface, et limitation accrue des tentatives automatisées sur ses serveurs. Mais ces mesures suffisent-elles à restaurer la confiance, et comment expliquer que les bonnes pratiques élémentaires n’aient pas été respectées dès le début ?
Le modus operandi dévoilé par Daigle rappelle étrangement celui mis en lumière par l’Université de Vienne sur WhatsApp, où une technique de devinette et de correspondance massive de numéros avait permis de croiser des données sur des milliards de comptes. Chez Freedom Chat, la faille était d’autant plus grave que la fuite du code PIN, combinée au numéro de téléphone, pouvait permettre à un tiers d’ouvrir sans difficulté l’application sur un téléphone volé. Les développeurs sont-ils suffisamment sensibilisés à ces risques ou bien l’urgence de lancer un produit prime-t-elle sur la sécurité ?
Dans son mea culpa publié lors d’une mise à jour sur les plateformes de téléchargement, Freedom Chat tente de rassurer : « Votre confidentialité reste notre priorité absolue. » Pourtant, l’histoire se répète : le fondateur Tanner Haas avait déjà dû retirer une précédente application, Converso, après une fuite de messages privés signalée par la communauté sécurité. Quel crédit accorder à de telles communications lorsque la transparence ne va pas de pair avec une véritable politique de divulgation et de correction des erreurs ?
À l’heure où les utilisateurs se tournent massivement vers des alternatives pour protéger leurs conversations, comment distinguer les outils réellement sûrs des simples mirages ? Face à la multiplication de ce type d’incidents, n’est-il pas temps d’exiger des normes minimales et vérifiables pour toutes les applications qui prétendent garantir notre sécurité numérique ?
Source : Techcrunch
