[email protected]
Publier mon innovation

Vulnérabilités chez Freedom Chat

Accueil - Technologies et Avenirs - Start-ups - Vulnérabilités chez Freedom Chat
Vulnérabilités chez Freedom Chat Innovationsfr
décembre 21, 2025

Vulnérabilités chez Freedom Chat

Imaginez télécharger une application de messagerie qui promet de garder votre numéro de téléphone totalement secret, pour finalement découvrir que n’importe qui pourrait le deviner en quelques clics. C’est exactement ce qui est arrivé aux utilisateurs de Freedom Chat, une jeune application lancée avec l’ambition de révolutionner la confidentialité dans les échanges numériques.

Cette histoire soulève une question cruciale : peut-on vraiment faire confiance aux nouvelles applications qui se présentent comme des remparts contre la surveillance ? Derrière les belles promesses marketing, les failles techniques peuvent transformer un outil de liberté en véritable piège pour la vie privée.

Freedom Chat : une promesse de confidentialité brisée

Lancée en juin 2025, Freedom Chat s’est positionnée comme une alternative ultra-sécurisée aux géants comme WhatsApp ou Signal. Son argument principal ? Les numéros de téléphone restent invisibles pour les autres utilisateurs, une fonctionnalité censée protéger l’identité de chacun.

Malheureusement, cette promesse n’a tenu que quelques mois. Un chercheur en sécurité indépendant, Eric Daigle, a découvert deux vulnérabilités critiques qui ont permis d’accéder à des données sensibles de milliers d’utilisateurs.

Ces failles n’étaient pas anodines : elles touchaient directement l’essence même de l’application, à savoir la protection de l’identité et l’accès aux comptes.

La première faille : l’énumération massive des numéros de téléphone

Le premier problème était particulièrement inquiétant. Les serveurs de Freedom Chat répondaient trop facilement aux requêtes automatisées. En envoyant des millions de numéros de téléphone potentiels, un attaquant pouvait déterminer lesquels étaient enregistrés sur la plateforme.

Eric Daigle a ainsi réussi à identifier près de 2 000 numéros valides depuis le lancement de l’application. Cette technique, appelée énumération, n’est pas nouvelle : des chercheurs de l’Université de Vienne l’ont récemment utilisée pour démontrer que même WhatsApp n’était pas totalement à l’abri de ce genre d’attaque à grande échelle.

Le danger est évident. Connaître le numéro de téléphone d’une personne sur une application de messagerie permet de l’ajouter comme contact, de lancer des conversations non sollicitées, voire de préparer des attaques plus sophistiquées comme le phishing ou le SIM swapping.

Les serveurs permettaient à quiconque d’inonder le système avec des millions de suppositions de numéros pour vérifier leur existence.

– Eric Daigle, chercheur en sécurité

Heureusement, après avoir été alerté par le journaliste Zack Whittaker de TechCrunch, le fondateur Tanner Haas a réagi rapidement en renforçant les mécanismes de limitation de requêtes (rate limiting) sur les serveurs.

La seconde vulnérabilité : les codes PIN exposés en clair

Le second bug était encore plus choquant. Freedom Chat propose un code PIN pour verrouiller l’accès à l’application sur le téléphone. Ce code est censé rester strictement personnel.

Or, en analysant le trafic réseau avec un outil open source, Eric Daigle a constaté que les réponses du serveur incluaient les codes PIN de tous les utilisateurs présents dans le canal public par défaut.

Autrement dit, chaque nouvel inscrit était automatiquement ajouté à ce canal général, et son PIN était diffusé à tous les autres membres, même si l’interface utilisateur ne l’affichait pas.

Concrètement, un attaquant présent dans ce canal pouvait collecter les PIN de centaines d’utilisateurs. En cas de vol de téléphone, ce code aurait permis d’ouvrir l’application sans difficulté supplémentaire.

L’équipe de Freedom Chat a reconnu l’erreur dans une mise à jour publiée sur l’App Store :

Une mise à jour récente du backend a involontairement exposé les PIN utilisateurs dans une réponse système. Aucun message n’a été compromis, mais nous avons réinitialisé tous les PIN pour garantir la sécurité.

– Note de mise à jour Freedom Chat

Tous les codes PIN ont donc été réinitialisés, obligeant les utilisateurs à en définir de nouveaux.

Un fondateur déjà confronté à des problèmes similaires

Tanner Haas n’en est pas à son premier rodéo dans le domaine de la messagerie sécurisée. Avant Freedom Chat, il avait développé Converso, une autre application qui promettait une confidentialité renforcée.

Mais Converso a été retirée des stores après la révélation de failles graves permettant d’accéder aux messages privés des utilisateurs. Cette expérience aurait dû servir de leçon, pourtant Freedom Chat a reproduit certaines erreurs classiques du développement sécurisé.

Ces incidents successifs soulèvent des questions sur la maturité des processus de sécurité au sein de ces jeunes startups ambitieuses.

Les leçons à tirer pour les utilisateurs et les développeurs

Cette affaire nous rappelle plusieurs principes fondamentaux en matière de cybersécurité :

  • La confidentialité par défaut doit être implémentée dès la conception, pas ajoutée en post-production.
  • Les tests de sécurité externes (bug bounty ou audits indépendants) sont indispensables avant un lancement public.
  • Le rate limiting et la validation stricte des requêtes sont des mesures basiques mais essentielles.
  • Les données sensibles ne doivent jamais transiter en clair, même dans des réponses internes.
  • Un canal de signalement public des vulnérabilités (vulnerability disclosure policy) évite les fuites médiatiques.

Pour les utilisateurs, cette histoire incite à la prudence. Même si Freedom Chat a corrigé les failles, la confiance est entamée. Beaucoup se tournent désormais vers des applications plus établies comme Signal ou Threema, qui ont fait leurs preuves au fil des années.

L’avenir de la messagerie vraiment privée

Malgré cet incident, la demande pour des messageries véritablement privées reste forte. Les scandales répétés autour de la collecte de données par les grandes plateformes poussent les utilisateurs à chercher des alternatives.

Des projets open source comme Session ou Briar continuent d’innover en supprimant totalement la dépendance au numéro de téléphone. D’autres, comme Matrix, misent sur la décentralisation pour éviter les points uniques de défaillance.

Freedom Chat pourrait rebondir si l’équipe tire les bonnes leçons. La réactivité du fondateur face à l’alerte est un point positif. Mais dans le domaine de la sécurité, une seule grosse erreur peut suffire à détruire des années de crédibilité.

En conclusion, cette affaire illustre parfaitement les défis auxquels sont confrontées les startups dans le secteur ultra-sensible de la cybersécurité. L’ambition de proposer une messagerie plus privée est louable, mais elle doit s’accompagner d’une rigueur technique irréprochable. Les utilisateurs, de leur côté, ont tout intérêt à diversifier leurs outils et à rester vigilants face aux nouvelles venues prometteuses mais encore immatures.

La confidentialité numérique reste un combat permanent, et chaque faille découverte nous rapproche, paradoxalement, d’un internet plus sûr… à condition que les leçons soient bien apprises.

Mots Clés:
Partager:

Steven Soarez Rédacteur Web

Passionné et dévoué, j'explore sans cesse les nouvelles frontières de l'information et de la technologie. Pour explorer les options de sponsoring, contactez-nous.

Autres Sujets

Ajouter Un Commentaire

Chercher

Étiquettes

abus technologie Accord OpenAI Apple accélérateur innovation santé accélérateur startup accélérateur startups Acquisition start-up actions fintech addiction réseaux sociaux adoption IA générative adoption intelligence artificielle all4pack emballages durables innovations packaging écoconception économie circulaire ambitions venture capitalists Andreessen Horowitz Twitter influence réseaux sociaux capital risque Anthropic levée fonds autonomie véhicules électriques avenir IA générative avenir intelligence artificielle Avenir semi-conducteurs barquettes inox consigne réduction déchets Berny transition écologique biotechnologie avancée Bot Manager campus cybersécurité Chine OMC Droits douane Voitures électriques Tensions commerciales Subventions distorsion concurrence commerce international commissaires vie privée confiance intelligence artificielle controverse Elon Musk crise financement startups croissance start-ups cybersécurité web3 données personnelles défis start-ups défis véhicules autonomes Energie verte expérience utilisateur Géotechnique Décarbonation industrie Empreinte carbone Transition énergétique Prototype innovant Imagino levée de fonds marketing digital données clients expansion internationale Industrie du futur Relocalisation industrielle Transition écologique Startups deeptech Souveraineté technologique innovation industrielle mobilité urbaine protection bots Radware Bot transformation numérique Écosystème startup Innovation technologique Résilience entrepreneuriale Défis startups Croissance startup Canada énergies renouvelables

Beauty and lifestyle influencer

Follow my journey on all Social Media channels

Alienum phaedrum torquatos nec eu, vis detraxit periculis ex, nihilmei. Mei an pericula euripidis, hinc partem ei est.
facebook
5M+
Facebook followers
Follow Me
youtube
4.6M+
Youtube Subscribers
Subscribe Me
tiktok
7M+
Tiktok Followers
Follow Me
instagram
3.4M+
Instagram Followers
Follow Me