Jack Dorsey affirme que sa nouvelle application de messagerie Bitchat, censée être « sécurisée », n'a pas été testée sur le plan de la sécurité

Après que des experts ont découvert des vulnérabilités critiques

Jack Dorsey a lancé Bitchat, une application de messagerie basée sur le Bluetooth qui vise à offrir des communications sécurisées et privées sans dépendance à Internet. Mais des chercheurs en sécurité ont découvert des failles critiques, dont une authentification d'identité défaillante qui permet des attaques par usurpation d'identité. Après quoi, Jack Dorsey a averti que Bitchat n'avait pas fait l'objet d'un examen de sécurité et que l'application ne devait pas être utilisée en production, ce qui contredit les affirmations initiales en matière de sécurité. Il aurait utilisé Goose, l'outil d'IA de codage de sa société Block, pour développer sa nouvelle application de messagerie.

Jack Dorsey est cofondateur Twitter (aujourd'hui X) et PDG de Block, une entreprise de services financiers et de paiements mobiles. Il a récemment lancé Bitchat, une application de messagerie open source qui repose sur le Bluetooth et le chiffrement de bout en bout, contrairement aux applications de messagerie traditionnelles qui s'appuient sur Internet. Bitchat promet d'offrir une messagerie « sécurisée » et « privée » sans infrastructure centralisée.

En étant décentralisée, Bitchat a le potentiel d'être une application sécurisée dans les environnements à haut risque où Internet est surveillé ou inaccessible. Selon le livre blanc de Jack Dorsey détaillant les protocoles et les mécanismes de confidentialité de l'application, la conception du système de Bitchat donne « la priorité » à la sécurité. Cependant, les chercheurs en cybersécurité ont rapidement révélé que Bitchat souffrait de plusieurs vulnérabilités.

Des promesses de sécurité sans fondement et des failles critiques

Dans un premier temps, lorsque des experts ont commencé à s'interroger sur les affirmations selon lesquelles Bitchat est sécurisée, Jack Dorsey a révélé que l'application et son code n'ont pas du tout été examinés ou testés pour des questions de sécurité par des chercheurs indépendants.

Il a ajouté cet avertissement sur la page GitHub du projet : « ce logiciel n'a pas fait l'objet d'un examen de sécurité externe et peut contenir des vulnérabilités et ne répond pas nécessairement à ses objectifs de sécurité déclarés. Ne l'utilisez pas en production et ne vous fiez pas à sa sécurité tant qu'elle n'a pas été examinée ». Plus tard, Jack Dorsey a ajouté la mention « Travail en cours » à côté de l'avertissement initial sur la page GitHub de Bitchat.


Cette mention est apparue après que le chercheur en sécurité Alex Radocea a annoncé avoir découvert une faille de sécurité critique dans le code. D'après un billet de blogue d'Alex Radocea, en exploitant cette vulnérabilité critique, il est possible pour un attaquant d'usurper l'identité de quelqu'un d'autre et de tromper les contacts d'une personne en leur faisant croire qu'ils parlaient au contact légitime. Ce qui pourrait nuire gravement aux utilisateurs.

Dans son billet de blogue, Alex Radocea explique que l'application dispose d'un système d'authentification/vérification d'identité défaillant qui permet à un pirate d'intercepter la « clé d'identité » et la « paire d'identifiants » d'une personne, c'est-à-dire une poignée de main numérique censée établir une connexion de confiance entre deux personnes utilisant l'application. Bitchat appelle ces contacts « Favoris » et les marque d'une icône en forme d'étoile.

L'objectif de cette fonctionnalité est de permettre à deux utilisateurs de Bitchat d'interagir en sachant qu'ils parlent à la même personne qu'auparavant. Jack Dorsey a annoncé Bitchat le 6 juillet. Le lendemain, Alex Radocea a déposé un ticket sur la page GitHub du projet pour demander comment signaler la faille de sécurité qu'il venait de découvrir dans le système « Bitchat Favorites ». Peu après, Jack Dorsey l'a marqué comme « terminé », sans commentaire.

Jack Dorsey a rouvert le ticket le 9 juillet, indiquant que les problèmes de sécurité peuvent être signalés en postant directement sur GitHub. Alex Radocea a averti les utilisateurs de Bitchat qu'ils ne devaient pas encore faire confiance à la nouvelle application prétendument sécurisée de Jack Dorsey :

« La sécurité est une fonctionnalité intéressante pour devenir virale. Mais une vérification de base, comme si les...