La journée a commencé comme toute autre pour Maya Patel, ingénieure en logiciel à Toronto, qui a ouvert son application de messagerie Tea pour vérifier ses plans du week-end avec ses amis, pour découvrir une bannière de notification rouge : « Messagerie temporairement hors ligne en raison d’une maintenance de sécurité. »
Ce qu’elle a rencontré était les conséquences du deuxième incident majeur de sécurité de Tea en moins de huit mois, alors que la plateforme de messagerie populaire—qui s’est démarquée en 2023 pour son approche axée sur la confidentialité—a désactivé sa fonctionnalité principale de messagerie suite à des signalements d’une autre exposition potentielle de données.
« Nous avons désactivé de manière préventive les services de messagerie pendant que notre équipe de sécurité enquête sur des rapports d’accès non autorisés aux métadonnées des messages, » a publié l’équipe de communications de Tea sur leur page d’état à 3h45 HNE mercredi. L’entreprise a promis des mises à jour dans les 24 heures mais a fourni peu de détails sur la nature ou l’étendue de la brèche.
Selon trois chercheurs en cybersécurité avec qui j’ai parlé, l’incident semble impliquer l’accès aux horodatages des messages et aux identifiants des participants—pas au contenu des messages lui-même, qui reste chiffré. Néanmoins, le moment ne pourrait être pire pour Tea, qui s’est positionnée comme l’alternative sécurisée aux géants établis de la messagerie.
« Cela crée une crise de confiance, » explique Rahul Sharma, directeur de cybersécurité chez Digital Fortress. « Tea a construit sa marque sur des promesses de sécurité. Deux brèches en moins d’un an signifient que les utilisateurs remettront en question la capacité de l’entreprise à tenir sa proposition de valeur fondamentale. »
Tea a fait une entrée fracassante sur la scène de la messagerie en 2023, attirant plus de 40 millions d’utilisateurs dans le monde avec sa promesse de confidentialité accrue, de collecte minimale de données et de conversations chiffrées. L’application a gagné une popularité particulière au Canada, où plus de 3,8 millions d’utilisateurs l’ont téléchargée, selon la société d’analyse mobile AppFigures.
L’incident de sécurité précédent en décembre 2024 impliquait l’exposition d’environ 380 000 numéros de téléphone et noms d’utilisateurs par ce que l’entreprise a décrit comme « une vulnérabilité de l’API. » Tea a d’abord minimisé cette brèche avant que la pression des utilisateurs ne force une divulgation plus transparente.
Les autorités canadiennes de protection de la vie privée ont pris note. « Nous surveillons la situation de près, » déclare un porte-parole du Commissariat à la protection de la vie privée du Canada. « Les entreprises opérant au Canada ont des obligations claires en vertu de la LPRPDE concernant la notification et la correction des violations. »
Tea a des liens canadiens importants au-delà de sa base d’utilisateurs. L’entreprise a obtenu 12,5 millions de dollars en financement de série A l’année dernière, avec Inovia Capital, basée à Toronto, dirigeant la ronde. Lorsque j’ai contacté Inovia pour obtenir des commentaires, ils m’ont renvoyé aux déclarations officielles de Tea.
Les enjeux financiers sont considérables. La valorisation la plus récente de Tea a atteint 280 millions de dollars après sa ronde de financement de février. Avant cet incident, l’entreprise se préparait apparemment à une autre levée de fonds à une valorisation significativement plus élevée pour alimenter son expansion internationale.
« Les incidents de sécurité n’endommagent pas seulement la confiance des utilisateurs—ils affectent la valorisation et les capacités de collecte de fonds, » affirme Michelle Cohen, partenaire chez la société d’investissement technologique NextLevel Ventures. « Les investisseurs détestent l’incertitude, surtout concernant les promesses fondamentales du produit. Tea devra faire preuve d’une transparence extraordinaire pour maintenir la confiance. »
Les détails techniques restent flous. Deux anciens ingénieurs de Tea, s’exprimant sous couvert d’anonymat en raison d’accords de confidentialité, suggèrent que la croissance rapide de l’entreprise a mis à rude épreuve son infrastructure de sécurité.
« Le problème avec les applications de messagerie est que vous équilibrez une échelle incroyable avec une sécurité parfaite. C’est comme construire une chambre forte de banque à laquelle des millions de personnes doivent accéder simultanément, » a expliqué un ancien ingénieur. « L’architecture de Tea a privilégié l’expérience utilisateur et le développement de fonctionnalités. Parfois, les examens de sécurité ont été compressés. »
Pour des utilisateurs comme Patel, les incidents répétés soulèvent des questions sur la confidentialité numérique plus largement. « J’ai changé pour Tea spécifiquement parce que j’étais préoccupée par la confidentialité des données, » me dit-elle. « Maintenant, je me demande si une plateforme peut vraiment offrir la sécurité à grande échelle. »
Les analystes de l’industrie voient les défis de Tea comme emblématiques des tensions plus larges dans le secteur technologique. « Nous demandons aux entreprises d’être parfaitement sécurisées tout en étant parfaitement accessibles et continuellement innovantes, » déclare Amara Johnson, chercheuse en droits numériques au Citizen Lab de l’Université de Toronto. « Ce triangle d’exigences crée des points de pression où la sécurité peut souffrir. »
Tea fait face à un examen réglementaire au-delà des frontières canadiennes. L’entreprise devra probablement signaler l’incident aux autorités européennes selon les exigences du RGPD, déclenchant potentiellement des enquêtes et des amendes si la gestion est jugée inadéquate.
« Les exigences de notification en vertu du RGPD sont strictes—72 heures après la découverte, » note l’avocat spécialisé en protection de la vie privée Marcel Dubois. « Mais la préoccupation plus importante pour Tea pourrait être le principe du RGPD de ‘confidentialité dès la conception.’ Des violations répétées suggèrent des problèmes systémiques plutôt que des incidents isolés. »
Le fondateur et PDG de Tea, Vikas Gupta, a reconnu la gravité de la situation dans une brève déclaration : « Nous comprenons la profonde responsabilité que nous avons de protéger les données des utilisateurs. Nous prenons cet incident avec le plus grand sérieux et partagerons une analyse complète une fois notre enquête conclue. »
L’entreprise a promis de commander un audit de sécurité indépendant et d’en publier les résultats, une décision que les experts en cybersécurité accueillent favorablement mais considèrent comme tardive.
Pour l’instant, les utilisateurs de Tea comme Patel sont laissés en attente—et envisagent des alternatives. « Je leur donnerai une chance de régler ce problème, » dit-elle, « mais ma confiance n’est pas illimitée. À un moment donné, on doit se demander si le problème réside dans les promesses que font ces applications, pas seulement dans leur exécution. »
Alors que les plateformes de messagerie se positionnent de plus en plus comme des sanctuaires numériques, les difficultés de sécurité persistantes de Tea révèlent les défis complexes de la construction de systèmes de communication véritablement privés à grande échelle. La question est maintenant de savoir si les utilisateurs continueront d’infuser leurs conversations dans une application qui a échoué deux fois à tenir ses promesses de sécurité.
