L'auteur de la messagerie sécurisée Cryptocat a annoncé vendredi la suspension de son service, qui était proposé depuis 2012. Officiellement, il s'agit de travailler sur une nouvelle version réservée exclusivement aux ordinateurs. Mais la brutalité de la décision surprend, dans un contexte difficile pour les messageries sécurisées.

Il n’est plus possible d’utiliser Cryptocat pour communiquer en toute confidentialité sur Internet. Le service de messagerie sécurisée, qui était également disponible sur applications mobiles et en extensions pour navigateurs, a soudainement fermé ses portes, le vendredi 19 février.

Dans un message publié sur la page d’accueil du site officiel, le développeur Nadim Kobeissi explique qu’il a décidé de suspendre Cryptocat qu’il avait écrit en 2012, pour se concentrer sur le développement d’une version refaite de A à Z. Mais celle-ci pourrait ne même pas voir le jour cette année, même si c’est l’objectif.

« La décision peut paraître soudaine mais ça n’est pas le cas », écrit-il. « Si l’on veut fournir une messagerie sécurisée, ça ne peut pas être sans une assurance raisonnable de qualité et des garanties basées sur des fondations d’ingénierie modernes ».

L’auteur rappelle qu’il n’avait pas mis à jour le code de Cryptocat depuis février 2015, et que même si rien de concret ne permet de remettre en cause sa sécurité, il préfère le mettre au rebut et repartir sur de nouvelles bases. « Cette réécriture complète de Cryptocat bénéficie d’une compréhension plus mûre de la messagerie sécurisée, incorpore une ingénierie plus moderne, et sera tout simplement un bon logiciel », promet celui qui a intégré à Paris le laboratoire Prosecco de l’INRIA, spécialisé dans les technologies cryptographiques.

Il propose par ailleurs aux utilisateurs de répondre à un questionnaire sur les fonctionnalités qu’ils attendent le plus.

La fin de Cryptocat sur mobiles

New Cryptocat in native desktop client glory. Expect things to look very different by release, but barebones works. pic.twitter.com/Vf8fZngw7E — Nadim Kobeissi (@kaepora) February 22, 2016

Au passage, Nadim Kobeissi annonce que Cryptocat n’aura plus de version mobile, puisqu’il estime que des solutions sécurisées sont déjà satisfaisantes sur les smartphones, et qu’il faut se concentrer sur le desktop. Un argument qui peut surprendre, puisque l’intérêt d’une messagerie moderne est d’être cross-plateformes.

Fin 2013, Apple avait d’abord refusé de distribuer Cryptocat sur iOS, pour des raisons qui sont restées inconnues. La firme avait imposé à Kobeissi un accord de confidentialité qui lui interdisait de révéler la raison du refus. Grâce à l’intermédiaire de l’Electronic Frontier Foundation (EFF), Cryptocat avait finalement trouvé sa place sur l’App Store au début de l’année 2014, grâce à un accord resté confidentiel (le message où il l’annonçait sur Twitter a depuis été retiré).

Cryptocat avait annoncé qu’il fermerait s’il avait l’ordre d’installer un backdoor

« Si nous recevons un ordre pour installer une porte dérobée ou mettre en place un système de surveillance que nous ne pouvons pas combattre sur le plan juridique, nous fermerons Cryptocat plutôt que de l’implémenter », avait écrit le créateur de Cryptocat en 2013, après les arrêts similaires de Lavabit et Silent Circle. Il n’y a toutefois aucune raison d’imaginer que la suspension et ce message sont liés, d’autant plus s’il travaille effectivement sur une nouvelle version.

Reste que Cryptocat est bien dans le radar des autorités, et que sa fermeture intervient dans un contexte compliqué, où les gouvernements mettent la pression sur les messageries sécurisées qui peuvent être utilisées pour planififier des activités criminelles et terroristes.

En 2012, après la publication de Cryptocat, Nadim Kobeissi avait été arrêté à la frontière aux États-Unis, pour être interrogé sur le fonctionnement de sa messagerie sécurisée. « L’interrogateur (qui prétendait avoir 22 ans d’expérience en informatique) m’a demandé quels algorithmes Cryptocat utilisait et m’a posé des questions sur sa résistance à la censure. J’ai été détenu, fouillé, questionné sur mes travaux, et mon passeport a été confisqué pendant près d’une heure », avait-il raconté.

Le code source de Cryptocat, qui était distribué sur Github, a été supprimé. Par ailleurs Nadim Kobeissi indique qu’il n’acceptera plus de dons ou de financements quelconques, alors que l’ancienne page d’accueil de Cryptocat invitait à soutenir le projet par des dons en bitcoins ou sur Paypal. « Par conviction personnelle », écrit-il, sans s’en expliquer davantage.

Afin de bien choisir sa messagerie sécurisée, découvrez notre guide du chiffrement.

Article publié initialement le 23 février 2016

Partager sur les réseaux sociaux Tweeter Partager Partager Partager redditer

La suite en vidéo