Nadim Kobeissi, le développeur français à l’origine de la messagerie chiffrée Cryptocat vient de lancer la première version bêta garantissant le respect de la vie privée des utilisateurs.
Ce regain d’activité intervient un mois après l’annonce de le fermeture du projet de messagerie chiffrée par Nadim Kobeissi, le développeur français à l’origine de Cryptocat. Aujourd’hui, le service fait son grand retour en version bêta. L’application est compatible Windows, Mac OS et Linux et permet aux utilisateurs de communiquer gratuitement de façon sécurisée via une interface conviviale (seuls le partage de fichiers et la discussion en groupes sont absents des fonctionnalités). Techniquement, il s’agit principalement d’un client XMPP couplé avec l’extension OMEMO et Cryptocat utilise le moteur Axolotl pour chiffrer les échanges, que l’on retrouve notamment chez Signal et TextSecure.
Nadim Kobeissi est un chercheur au laboratoire Prosecco de l’INRIA, spécialisé dans les technologies cryptographiques. Ce dernier a réécrit entièrement Cryptocat (datant de 2012) selon de nouvelles normes provenant directement de ses travaux :
« Si l’on veut fournir une messagerie sécurisée, ça ne peut pas être sans une assurance raisonnable de qualité et des garanties basées sur des fondations d’ingénierie modernes »
Quoi qu’il en soit, Cryptocat reste toujours une solution open-source (licence GPLv3), ce qui permet à tous les développeurs et experts en cryptologie de vérifier sa fiabilité, et de contribuer à son amélioration. Pour utiliser la messagerie chiffrée Cryptocat, il convient de télécharger et d’installer le logiciel dédié sur sa machine :
- Télécharger Cryptocat pour Windows
- Télécharger Cryptocat pour Mac OS
- Télécharger Cryptocat pour Linux
Ensuite, il vous faudra créer un compte anonyme (nom d’utilisateur au choix et mot de passe uniquement), pas besoin d’adresse mail. Du coup, pas de récupération de mot de passe possible : un point fort pour l’anonymat et les attaques de pirates informatiques et un point faible en cas de perte de mot de passe). On ne peut pas tout avoir !
Cryptocat sait identifier tous les appareils ayant servi à établir une connexion, chose pratique que l’on retrouve sur Google par exemple, permettant de savoir si des appareils inconnus ont réussi une connexion. Quant aux clés de chiffrement, elles sont stockées localement sur chacun des appareils utilisés, ce qui élimine le risque de piratage externe via tierce partie. Aucun historique de conversation n’est disponible : de ce fait, même en cas de perte du compte, un attaquant ne pourra jamais connaître vos conversations.
En tout cas, cela peut être une alternative à Telegram (le plus abouti actuellement), Wire (non open-source) ou en core Ring (avis ?). Plus qu’a tester !