Ce matin, j’ai lu l’article de NextINpact qui concernait « Bleep », un service de messagerie instantanée développé par BitTorrent, qui fonctionne en peer-to-peer, sans passer par un quelconque serveur central.
Bleep propose à l’utilisateur de chiffrer ses communications en end-to-end, c’est-à-dire d’un utilisateur à un autre entièrement.
Bleep n’est disponible, pour l’instant, que sous Windows, en pré-alpha et n’est pas ouvert au public, c’est une version pré-alpha fermée.
Après en avoir parlé rapidement sur Twitter, notamment grâce à @koolfy (que je remercie au passage), mon point de vue est sans appel : cette application ne doit pas être utilisée, nous allons voir pourquoi.
Tout d’abord, et c’est un point positif, il faut aller voir les conditions d’utilisation, vous devez les lire et vous devez être d’accord, BitTorrent vous le rappelle d’ailleurs sur la page consacrée à Bleep (c’est du HTTP) :
Première erreur pour moi : il n’existe aucune version HTTPS du site. Je sais, le blog non plus ne fait pas de HTTPS, du moins pas du HTTPS propre, sauf que moi, je ne propose pas de télécharger une application dédiée à la protection et à la sécurisation de ses communications. L’absence de HTTPS me semble problématique dans la mesure où il est donc possible d’altérer les requêtes de votre navigateur et de changer la version de Bleep que vous allez télécharger depuis leur site, sans parler du manque de confidentialité lié à l’absence de connexion chiffrée.
Ensuite, le CLUF est très explicite :
Restrictions
The source code, design, and structure of the Software are trade secrets. You will not disassemble, decompile, or reverse engineer it, in whole or in part, except to the extent expressly permitted by law, or distribute it. You will not use the Software for illegal purposes. You will comply with all export laws. The Software is licensed, not sold.
Le code source et la structure des logiciels proposés par BitTorrent sont donc secrets, ils ne sont pas Open Source, vous n’avez pas le droit de démonter l’application, partiellement ou entièrement.
Problème : un logiciel qui n’est pas libre, je ne sais pas comment il fonctionne, je ne peux pas savoir comment il fonctionne, je n’en ai pas le droit. Je ne sais pas vraiment ce qu’il fait, comment, et pourquoi.
D’un côté, j’ai donc un logiciel qui me propose de chiffrer mes communications, de garantir mon intimité, alors que de l’autre, je suis incapable de savoir ce qu’il fait, comment il fonctionne.
Désolé BitTorrent, je ne fais pas confiance à un logiciel qui prétend me protéger si je ne sais pas comment il fonctionne, et je lui fais encore moins confiance si je n’ai pas le droit de savoir comment il fonctionne…
Et vous devriez avoir le même réflexe, on ne devrait jamais confier notre intimité à un logiciel, un site ou une entreprise, sans savoir exactement comment elle fonctionne, ou à minima, sans qu’elle nous permette de le savoir.
Le point 7a des conditions d’utilisation explique que BitTorrent se réserve le droit de surveiller ses différents services, à n’importe quel moment, sans obligation de vous en informer. Ce qui signifie que la société peut voir ce que je fais avec Bleep.
Oui, cette société déclare qu’il n’y a pas de serveur central… mais comment faire confiance à une société qui a, pour unique preuve, une déclaration qui contredit ses conditions d’utilisation ?
Le point 7b explique la chose suivante :
If, as a result of such investigation, BitTorrent believes that criminal activity has occurred, BitTorrent reserves the right to refer the matter to, and to cooperate with, any and all applicable law enforcement authorities.
En résumé, si BitTorrent pense qu’une activité illégale ou criminelle passe par ses services, la société se réserve le droit de travailler avec les autorités, en application des différentes lois des différents pays.
Sauf que… Sauf que la loi n’est pas la même partout et qu’un utilisateur de Bleep en Ukraine, au hasard, aura potentiellement des ennuis. Et vous aussi, si ladite société vient à penser que vous avez une mauvaise utilisation de son logiciel.
D’ailleurs, comment la société peut penser que je me sers de son logiciel à des fins criminelles si elle déclare chiffrer l’ensemble des communications de Bleep ? En toute logique, elle est incapable de voir ce que je fais de son logiciel, non ?
Je suis sans doute trop parano, mais ce point me semble bien étrange…
Si le but est de protéger mes communications et mon intimité, c’est mal parti.
Le fait que le logiciel ne soit pas Open Source et libre reste la plus grosse erreur faite par BitTorrent.
Qu’est-ce qui me prouve que le logiciel ne contient pas une backdoor ? Un morceau de code malicieux qui transfère mes données à une tierce personne ?
Qu’est-ce qui me prouve que le logiciel protège entièrement mes communications ? Et si une faille existe dans le logiciel, comment puis-je le savoir, puisque le logiciel n’est pas Open Source ?
Je dois donc prendre des déclarations comme seul élément de preuve ? Désolé BitTorrent, il en faudra plus que ça, Koolfy le résume très bien d’ailleurs :
How to review a crypto app: « It’s crap and backdoored until proven otherwise. » It’s the only way, and #bleep failed the test.
— Daniel koolfy Faucon (@koolfy) July 31, 2014
En gros, la bonne façon de voir une application qui chiffre est la suivante : c’est pourri et truffé de backdoors jusqu’à preuve du contraire.
Et pour prouver le contraire, il faut avoir le droit de voir le code de l’application. Et pour ça, il faut que le logiciel soit Open Source.
Ce qui n’est pas le cas de Bleep.
Enfin, cette application est en « pré-alpha fermée ».
Pardon, BitTorrent, mais ma vie privée, mon intimité et la protection de mes communications ont besoin de plus qu’une application « pré-alpha fermée ».
La vie privée, ce n’est pas comme ça que ça se traite. Le temps du test, des utilisateurs vont échanger des choses avec Bleep et vont s’exposer à des failles de sécurité, des imperfections du logiciel, des fuites de leurs propres données…
Non, désolé, ce n’est pas une option envisageable.
Désolé, BitTorrent, mais Bleep, ça sera sans moi.