Jack Dorsey, co-fondateur et directeur général de Twitter Inc. et Square Inc., écoute lors de la conférence Bitcoin 2021 à Miami, Floride, États-Unis, le vendredi 4 juin 2021. (Image : Eva Marie Uzcategui/Bloomberg/Getty Images) | Crédits d'image : Eva Marie Uzcategui/Bloomberg / Getty Images Le dimanche, le PDG de Bloc et co-fondateur de Twitter Jack Dorsey a lancé une application de chat open source appelée Bitchat, promettant de fournir des messages « sécurisés » et « privés » sans infrastructure centralisée.
L'application s'appuie sur Bluetooth et le chiffrement de bout en bout, contrairement aux applications de messagerie traditionnelles qui dépendent d'Internet. En étant décentralisé, Bitchat a le potentiel d'être une application sécurisée dans des environnements à haut risque où Internet est surveillé ou inaccessible. Selon le livre blanc de Dorsey détaillant les protocoles et les mécanismes de confidentialité de l'application, la conception du système de Bitchat "priorise" la sécurité.
Mais les affirmations selon lesquelles l'application est sécurisée sont déjà mises en doute par des chercheurs en sécurité, étant donné que l'application et son code n'ont pas du tout été examinés ou testés pour des problèmes de sécurité - selon l'admission même de Dorsey.
Depuis son lancement, Dorsey a ajouté un avertissement sur la page GitHub de Bitchat : « Ce logiciel n'a pas reçu d'examen de sécurité externe et peut contenir des vulnérabilités et ne répond pas nécessairement à ses objectifs de sécurité déclarés. Ne l'utilisez pas pour une utilisation en production, et ne comptez pas sur sa sécurité quoi qu'il arrive jusqu'à ce qu'il ait été examiné. »
Cet avertissement apparaît maintenant également sur la page principale du projet GitHub de Bitchat, mais n'était pas présent au moment du lancement de l'application.
Mercredi, Dorsey a ajouté : « Travail en cours », à côté de l'avertissement sur GitHub.
Ce dernier avertissement est survenu après que le chercheur en sécurité Alex Rodocea a découvert qu'il est possible d'usurper l'identité de quelqu'un d'autre et de tromper les contacts d'une personne en leur faisant croire qu'ils parlent au contact légitime, comme l'a expliqué le chercheur dans un article de blog.
Rodocea a écrit que Bitchat dispose d'un système d'"authentification/vérification d'identité" défectueux qui permet à un attaquant d'intercepter la "clé d'identité" et la "paire d'identifiant de pair" de quelqu'un — essentiellement une poignée de main numérique censée établir une connexion de confiance entre deux personnes utilisant l'application. Bitchat appelle ces contacts "Favoris" et les marque avec une icône en étoile. L'objectif de cette fonctionnalité est de permettre à deux utilisateurs de Bitchat d'interagir, sachant qu'ils parlent à la même personne avec qui ils ont discuté auparavant.
Dorsey n'a pas répondu à la demande de commentaire de TechCrunch envoyée à son adresse e-mail Block.
Une capture d'écran montrant un exemple de chat où un attaquant a usurpé l'identité de "Bob" dans un chat avec "Alice", ce qui donnait l'impression que cela venait vraiment de Bob. (Image : Alex Rodocea) Lundi, Radocea a déposé un ticket sur le projet GitHub pour demander comment signaler la faille de sécurité qu'il a découverte dans le système des Favoris de Bitchat. Peu après, Dorsey l'a marqué comme "terminé", sans commentaire. (Dorsey a rouvert le ticket mercredi, en disant que les problèmes de sécurité peuvent être signalés en postant directement sur GitHub.)
Une autre personne a signalé des préoccupations concernant les affirmations de Dorsey selon lesquelles Bitchat dispose de "secret de transmission", une technique cryptographique qui garantit que même si un attaquant vole ou compromet une clé de chiffrement, cet attaquant ne peut toujours pas déchiffrer les messages déjà envoyés.
L'histoire continue. Quelqu'un a également signalé un bug potentiel de débordement de tampon, qui est un type courant de vulnérabilité de sécurité où un hacker peut forcer la mémoire d'un appareil à déborder vers d'autres emplacements, ouvrant ainsi la porte à un compromis des données.
Radocea a averti que les utilisateurs de Bitchat ne devraient pas encore faire confiance à l'application.
« La sécurité est une excellente fonctionnalité pour devenir viral. Mais un contrôle de bon sens de base, comme, est-ce que les clés d'identité font réellement de la cryptographie, serait une chose très évidente à tester lors de la construction d'une telle chose », a déclaré Radocea à TechCrunch. « Il y a des gens là-bas qui prendraient le message autour de la sécurité au pied de la lettre et pourraient s'y fier pour leur sécurité, donc le projet dans son état actuel pourrait les mettre en danger. »
Faisant référence à ses propres résultats et à ceux d'autres personnes, Radocea a critiqué l'avertissement de Dorsey selon lequel Bitchat n'a pas été testé pour la sécurité.
« Je dirais qu'il a reçu un examen de sécurité externe, et ce n'est pas bon », a-t-il déclaré.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Jack Dorsey dit que sa nouvelle application Bitchat 'sécurisée' n'a pas été testée pour la sécurité
Jack Dorsey, co-fondateur et directeur général de Twitter Inc. et Square Inc., écoute lors de la conférence Bitcoin 2021 à Miami, Floride, États-Unis, le vendredi 4 juin 2021. (Image : Eva Marie Uzcategui/Bloomberg/Getty Images) | Crédits d'image : Eva Marie Uzcategui/Bloomberg / Getty Images Le dimanche, le PDG de Bloc et co-fondateur de Twitter Jack Dorsey a lancé une application de chat open source appelée Bitchat, promettant de fournir des messages « sécurisés » et « privés » sans infrastructure centralisée.
L'application s'appuie sur Bluetooth et le chiffrement de bout en bout, contrairement aux applications de messagerie traditionnelles qui dépendent d'Internet. En étant décentralisé, Bitchat a le potentiel d'être une application sécurisée dans des environnements à haut risque où Internet est surveillé ou inaccessible. Selon le livre blanc de Dorsey détaillant les protocoles et les mécanismes de confidentialité de l'application, la conception du système de Bitchat "priorise" la sécurité.
Mais les affirmations selon lesquelles l'application est sécurisée sont déjà mises en doute par des chercheurs en sécurité, étant donné que l'application et son code n'ont pas du tout été examinés ou testés pour des problèmes de sécurité - selon l'admission même de Dorsey.
Depuis son lancement, Dorsey a ajouté un avertissement sur la page GitHub de Bitchat : « Ce logiciel n'a pas reçu d'examen de sécurité externe et peut contenir des vulnérabilités et ne répond pas nécessairement à ses objectifs de sécurité déclarés. Ne l'utilisez pas pour une utilisation en production, et ne comptez pas sur sa sécurité quoi qu'il arrive jusqu'à ce qu'il ait été examiné. »
Cet avertissement apparaît maintenant également sur la page principale du projet GitHub de Bitchat, mais n'était pas présent au moment du lancement de l'application.
Mercredi, Dorsey a ajouté : « Travail en cours », à côté de l'avertissement sur GitHub.
Ce dernier avertissement est survenu après que le chercheur en sécurité Alex Rodocea a découvert qu'il est possible d'usurper l'identité de quelqu'un d'autre et de tromper les contacts d'une personne en leur faisant croire qu'ils parlent au contact légitime, comme l'a expliqué le chercheur dans un article de blog.
Rodocea a écrit que Bitchat dispose d'un système d'"authentification/vérification d'identité" défectueux qui permet à un attaquant d'intercepter la "clé d'identité" et la "paire d'identifiant de pair" de quelqu'un — essentiellement une poignée de main numérique censée établir une connexion de confiance entre deux personnes utilisant l'application. Bitchat appelle ces contacts "Favoris" et les marque avec une icône en étoile. L'objectif de cette fonctionnalité est de permettre à deux utilisateurs de Bitchat d'interagir, sachant qu'ils parlent à la même personne avec qui ils ont discuté auparavant.
Dorsey n'a pas répondu à la demande de commentaire de TechCrunch envoyée à son adresse e-mail Block.
Une capture d'écran montrant un exemple de chat où un attaquant a usurpé l'identité de "Bob" dans un chat avec "Alice", ce qui donnait l'impression que cela venait vraiment de Bob. (Image : Alex Rodocea) Lundi, Radocea a déposé un ticket sur le projet GitHub pour demander comment signaler la faille de sécurité qu'il a découverte dans le système des Favoris de Bitchat. Peu après, Dorsey l'a marqué comme "terminé", sans commentaire. (Dorsey a rouvert le ticket mercredi, en disant que les problèmes de sécurité peuvent être signalés en postant directement sur GitHub.)
Une autre personne a signalé des préoccupations concernant les affirmations de Dorsey selon lesquelles Bitchat dispose de "secret de transmission", une technique cryptographique qui garantit que même si un attaquant vole ou compromet une clé de chiffrement, cet attaquant ne peut toujours pas déchiffrer les messages déjà envoyés.
L'histoire continue. Quelqu'un a également signalé un bug potentiel de débordement de tampon, qui est un type courant de vulnérabilité de sécurité où un hacker peut forcer la mémoire d'un appareil à déborder vers d'autres emplacements, ouvrant ainsi la porte à un compromis des données.
Radocea a averti que les utilisateurs de Bitchat ne devraient pas encore faire confiance à l'application.
« La sécurité est une excellente fonctionnalité pour devenir viral. Mais un contrôle de bon sens de base, comme, est-ce que les clés d'identité font réellement de la cryptographie, serait une chose très évidente à tester lors de la construction d'une telle chose », a déclaré Radocea à TechCrunch. « Il y a des gens là-bas qui prendraient le message autour de la sécurité au pied de la lettre et pourraient s'y fier pour leur sécurité, donc le projet dans son état actuel pourrait les mettre en danger. »
Faisant référence à ses propres résultats et à ceux d'autres personnes, Radocea a critiqué l'avertissement de Dorsey selon lequel Bitchat n'a pas été testé pour la sécurité.
« Je dirais qu'il a reçu un examen de sécurité externe, et ce n'est pas bon », a-t-il déclaré.
Voir les commentaires