Jack Dorsey affirme que sa nouvelle application de messagerie Bitchat, censée être « sécurisée », n'a pas été testée sur le plan de la sécurité

Après que des experts ont découvert des vulnérabilités critiques

Jack Dorsey affirme que sa nouvelle application de messagerie Bitchat, censée être « sécurisée », n'a pas été testée sur le plan de la sécurité
après que des experts ont découvert des vulnérabilités critiques

Jack Dorsey a lancé Bitchat, une application de messagerie basée sur le Bluetooth qui vise à offrir des communications sécurisées et privées sans dépendance à Internet. Mais des chercheurs en sécurité ont découvert des failles critiques, dont une authentification d'identité défaillante qui permet des attaques par usurpation d'identité. Après quoi, Jack Dorsey a averti que Bitchat n'avait pas fait l'objet d'un examen de sécurité et que l'application ne devait pas être utilisée en production, ce qui contredit les affirmations initiales en matière de sécurité. Il aurait utilisé Goose, l'outil d'IA de codage de sa société Block, pour développer sa nouvelle application de messagerie.

Jack Dorsey est cofondateur Twitter (aujourd'hui X) et PDG de Block, une entreprise de services financiers et de paiements mobiles. Il a récemment lancé Bitchat, une application de messagerie open source qui repose sur le Bluetooth et le chiffrement de bout en bout, contrairement aux applications de messagerie traditionnelles qui s'appuient sur Internet. Bitchat promet d'offrir une messagerie « sécurisée » et « privée » sans infrastructure centralisée.

En étant décentralisée, Bitchat a le potentiel d'être une application sécurisée dans les environnements à haut risque où Internet est surveillé ou inaccessible. Selon le livre blanc de Jack Dorsey détaillant les protocoles et les mécanismes de confidentialité de l'application, la conception du système de Bitchat donne « la priorité » à la sécurité. Cependant, les chercheurs en cybersécurité ont rapidement révélé que Bitchat souffrait de plusieurs vulnérabilités.

Des promesses de sécurité sans fondement et des failles critiques

Dans un premier temps, lorsque des experts ont commencé à s'interroger sur les affirmations selon lesquelles Bitchat est sécurisée, Jack Dorsey a révélé que l'application et son code n'ont pas du tout été examinés ou testés pour des questions de sécurité par des chercheurs indépendants.

Il a ajouté cet avertissement sur la page GitHub du projet : « ce logiciel n'a pas fait l'objet d'un examen de sécurité externe et peut contenir des vulnérabilités et ne répond pas nécessairement à ses objectifs de sécurité déclarés. Ne l'utilisez pas en production et ne vous fiez pas à sa sécurité tant qu'elle n'a pas été examinée ». Plus tard, Jack Dorsey a ajouté la mention « Travail en cours » à côté de l'avertissement initial sur la page GitHub de Bitchat.


Cette mention est apparue après que le chercheur en sécurité Alex Radocea a annoncé avoir découvert une faille de sécurité critique dans le code. D'après un billet de blogue d'Alex Radocea, en exploitant cette vulnérabilité critique, il est possible pour un attaquant d'usurper l'identité de quelqu'un d'autre et de tromper les contacts d'une personne en leur faisant croire qu'ils parlaient au contact légitime. Ce qui pourrait nuire gravement aux utilisateurs.

Dans son billet de blogue, Alex Radocea explique que l'application dispose d'un système d'authentification/vérification d'identité défaillant qui permet à un pirate d'intercepter la « clé d'identité » et la « paire d'identifiants » d'une personne, c'est-à-dire une poignée de main numérique censée établir une connexion de confiance entre deux personnes utilisant l'application. Bitchat appelle ces contacts « Favoris » et les marque d'une icône en forme d'étoile.

L'objectif de cette fonctionnalité est de permettre à deux utilisateurs de Bitchat d'interagir en sachant qu'ils parlent à la même personne qu'auparavant. Jack Dorsey a annoncé Bitchat le 6 juillet. Le lendemain, Alex Radocea a déposé un ticket sur la page GitHub du projet pour demander comment signaler la faille de sécurité qu'il venait de découvrir dans le système « Bitchat Favorites ». Peu après, Jack Dorsey l'a marqué comme « terminé », sans commentaire.

Jack Dorsey a rouvert le ticket le 9 juillet, indiquant que les problèmes de sécurité peuvent être signalés en postant directement sur GitHub. Alex Radocea a averti les utilisateurs de Bitchat qu'ils ne devaient pas encore faire confiance à la nouvelle application prétendument sécurisée de Jack Dorsey :

« La sécurité est une fonctionnalité intéressante pour devenir virale. Mais une vérification de base, comme si les clés d'identité font réellement de la cryptographie, serait une chose très évidente à tester lorsque l'on construit quelque chose comme ça. Il y a des gens qui prendraient les messages sur la sécurité au pied de la lettre et qui pourraient s'y fier pour leur sécurité, donc le projet dans son état actuel pourrait les mettre en danger ».

Fonctionnement de l'attaque

Vous êtes Alice.

• un attaquant intercepte et présente la clé d'identité de Bob, ainsi que sa propre paire éphémère ;
• Bitchat l'accepte, car il ne peut pas vérifier que les éphémères appartiennent au vrai Bob, puisque la clé d'identité n'effectue aucune authentification ;
• vous pensez discuter avec Bob, l'un de vos « favoris », car il est marqué d'une étoile ;
• le pirate se faisant passer pour « Bob » vous demande, Alice, vos secrets préférés ;
• vous divulguez alors des informations confidentielles à l'adversaire.

Peu après, le vrai Bob apparaît. Voici comment la conversation pourrait se poursuivre.


D'autres vulnérabilités potentielles dans Bitchat

D'autres testeurs ont signalé des vulnérabilités potentielles. Une personne a fait part de ses préoccupations concernant les affirmations de Jack Dorsey selon lesquelles Bitchat dispose d'une « confidentialité persistante » (forward secrecy), une technique cryptographique qui garantit que même si un attaquant vole ou compromet une clé de chiffrement, cet attaquant ne peut toujours pas déchiffrer les messages précédemment envoyés.

Quelqu'un a signalé un bogue potentiel de débordement de mémoire tampon, qui est un type de vulnérabilité de sécurité, où un pirate peut forcer un programme à écrire des données au-delà des limites prévues de la mémoire, ce qui peut permettre l’exécution de code malveillant ou la compromission des données.

Bitchat : une application lancée après un week-end de vibe coding

Jack Dorsey a déclaré que son application de messagerie Bitchat est un « projet du week-end », un délai de réalisation qui a naturellement soulevé la question suivante : a-t-il utilisé l'IA pour l'aider à le coder ? Il s'avère que oui. Jack Dorsey a depuis confirmé qu'il a utilisé Goose, l'assistant d'IA de codage de son entreprise Block, pour développer le projet. Selon certains critiques, cela pourrait expliquer les nombreuses vulnérabilités critiques.

« Cela faisait partie d'une série de défis que je me suis lancés : construire chaque jour quelque chose que je ne pensais pas être capable de faire, et que je ne pensais pas que les outils d'IA actuels étaient capables de faire, à savoir l'outil Goose de Block. Je suis toujours surpris de voir à quel point... ça fonctionne », a écrit Jack Dorsey sur GitHub. (Selon Block, son agent d'IA de codage écrit le code de manière autonome et débogue les erreurs.)

L'objectif initial de Jack Dorsey était de créer une application qui permettrait aux utilisateurs de communiquer sans avoir besoin d'un numéro de téléphone, d'une adresse e-mail ou d'un pseudonyme. Il a comparé Bitchat à FireChat, l'application de messagerie Bluetooth mesh utilisée lors des manifestations prodémocratie à Hong Kong au début des années 2010. FireChat a été mise à jour pour la dernière fois en 2018, et son accès a depuis été fermé.

« Cela a fonctionné en une journée. J'ai donc ajouté les messages privés, les canaux et les canaux privés le lendemain », a écrit Jack Dorsey à propos de Bitchat. Bitchat est disponible via la plateforme de test bêta TestFlight, la plateforme de test bêta d'Apple sur iOS, ainsi que sur les appareils Android.

En ce qui concerne l'App Store, Jack Dorsey a écrit que Bitchat reste « bloqué » pour trois raisons : une optimisation plus robuste du réseau, la mise en œuvre d'un protocole antibruit et la nécessité d'obtenir l'approbation d'Apple.

Ce n'est pas la première incursion de Jack Dorsey dans le domaine du vibe coding. En juin 2025, le cofondateur de Twitter a participé au Oslo Freedom Forum, où il a assisté à un atelier avec Justin Moon, conseiller technique en IA pour la Human Rights Foundation. En s'appuyant sur le vibe coding, Jack Dorsey et Justin Moon ont créé un site Web pour une organisation partenaire en huit minutes, en utilisant uniquement des descriptions textuelles.

Dans son annonce sur GitHub, Jack Dorsey a écrit qu'il existe désormais une nouvelle façon de programmer, avec un nouveau langage et un nouveau compilateur : « l'anglais et les modèles d'IA ». Mais les vulnérabilités de Bitchat mettent en lumière les limites actuelles des assistants d'IA de codage.

Sources : livre blanc de jack Dorsey, Bitchat, billet de blogue, vulnérabilités potentielles dans Bitchat (1, 2)

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous des failles de sécurité critiques découvertes par les chercheurs dans Bitchat ?
Jack Dorsey affirme avoir utilisé un assistant d'IA de codage pour créer Bitchat. Qu'en pensez-vous ?
Bitchat met en avant la sécurité, mais n'a pas été testée sur le plan de la sécurité avant sa publication. Qu'en pensez-vous ?

Voir aussi

Jack Dorsey, cofondateur de Twitter, a lancé "Bitchat", une application de messagerie Bluetooth axée sur la protection de la vie privée pour rivaliser avec WhatsApp et offrirait une communication chiffrée

Le fondateur de Twitter, Jack Dorsey, quitte le conseil d'administration du réseau social décentralisé Bluesky pour se concentrer sur la « technologie de la liberté » qui ne dépend pas des entreprises

Un « vibe codeur » dépourvu de véritables compétences en programmation ne cesse de remporter des hackathons à San Francisco, relançant le débat sur la capacité de l'IA à remplacer les programmeurs