Dimanche, le PDG de Block et co-fondateur de Twitter, Jack Dorsey, a lancé une application de chat open source appelée Bitchat, promettant de livrer une messagerie «sécurisée» et «privée» sans infrastructure centralisée.
L’application est liée à Bluetooth et au chiffrement de bout en bout, contrairement aux applications de messagerie traditionnelles qui reposent sur Internet. En étant décentralisé, Bitchat a un potentiel d’être une application sécurisée à haut risque autour d’Internet est surveillée ou inaccessible. Selon le livre blanc de Dorsey détaillant les protocoles d’applications et les mécanismes de confidentialité, la conception du système de Bitchat «priorise» la sécurité.
Mais les affirmations selon lesquelles l’application est sécurisée, cependant, est déjà confrontée à un vote par des chercheurs en sécurité, étant donné que l’application et son code n’ont pas été inversés ou testés pour la sécurité de tous – par la propre admission de Dorsey.
Lancement de vente, Dorsey a ajouté un avertissement à la page GitHub de Bitchat: «Ce logiciel n’a pas reçu de revue de sécurité externe et peut contenir des vulnérabilités et n’a pas nécessaire de nécessaire ses objectifs de staturité. Quoi qu’il en soit jusqu’à ce qu’il n’ait vénéré.»
Cet avertissement apparaît désormais également sur la page du projet Gitchat Github, mais n’était pas là au moment où l’application a débattu.
Mercredi, Dorsey a ajouté: «Travail en cours», à côté de l’avertissement sur Github.
Cette dernière CAM en avertissement après que le chercheur en sécurité Alex Rodocea a révélé qu’il était possible d’identiter quelqu’un et de tromper les contacts d’une personne pour penser qu’il parle au contact légitime, comme le chercheur l’a expliqué dans un article de blog.
Rodocea a écrit que Bitchat a un système d’authentification / vérification d’identité cassé qui permet à une attaque d’intercepter la «clé d’identité» de Mayon et la «paire d’identité de pairs» – essentiellement une poignée de main numérique qui est censée établir un lien de confiance entre deux personnes à l’aide de l’application. Bitchat appelle ces contacts «préférés» et les marque avec une icône Star. L’objectif de cette fonctionnalité est de permettre à deux utilisateurs de Bitchat d’interagir, connu qu’ils parlent à la même personne à qui ils ont parlé auparavant.
Dorsey n’a pas répondu à la demande de TechCrunch pour se sentir à son adresse e-mail.
Lundi, Radocea a déposé un billet sur le projet GitHub pour demander comment signaler la faille de sécurité qu’il a découverte dans le système Bitchat Favoris. Peu de temps après, Dorsey l’a marqué comme «terminé», sans commentaire. (Dorsey a rouvert le billet mercredi, affirmant que les problèmes de sécurité peuvent être signalés en publiant directement sur Github.)
Une autre personne a signalé des préoccupations concernant les affirmations de Dorsey selon lesquelles Bitchat a «un secret avant», une technique cryptographique qui garantit que même si une attaque vole ou compromet une clé de chiffrement, que l’attaquant ne peut toujours pas décrypter les messages précédents.
Quelqu’un a également incliné un bug de débordement de tampon potentiel, qui est un type courant de vulnérabilité de sécurité où un pirate peut forcer la mémoire d’un appareil à se répandre à d’autres locations, ouvrant la porte pour un compromis de données.
Radocea a averti que les utilisateurs de Bitchat ne devraient pas encore faire confiance à l’application.
« La sécurité est une excellente fonctionnalité à avoir pour devenir viral. Mais un contrôle de base de base, comme, fait les nouvelles des clés d’identité faire n’importe quelle cryptographie, serait une chose très désinvolte à tester lors de la construction de quelque chose comme ça », a déclaré Radocea à TechCrunch. «Il y a des gens qui prendraient littéralement la sécurité de la messagerie de messagerie et pourraient compter sur leur sécurité, afin que le projet dans son état actuel puisse les mettre en danger.»
Refronto à ses conclusions et aux autres, Radocea a critiqué l’avertissement de Dorsey que Bitchat n’a pas testé Ben pour la sécurité.
« L’affirme qu’il a reçu une revue de sécurité externe, et cela ne semble pas bon », a-t-il déclaré.
