Bitmessage : lorsque le protocole de Bitcoin protège vos conversations

Alors que le débat autour de PRISM est encore chaud, les outils permettant à chacun de communiquer de manière sécurisée intéressent de plus en plus de monde. Si nous vous avons déjà souvent parlé de Cryptocat, d'autres solutions existent, comme Bitmessage, qui exploite le protocole de Bitcoin

Bitcoin est une monnaie virtuelle qui a récemment beaucoup fait parler d'elle. En effet, outre son concept qui déchire les experts, elle fonctionne de manière totalement décentralisée tout en exploitant de manière assez importante la cryptographie pour assurer la sécurité des transactions, notamment via le concept de « Proof of work ». L'idée de départ de Bitmessage est d'utiliser ce principe pour protéger non plus des échanges financiers, mais des conversations.

L'e-mail pose des problèmes de sécurité, quoi de simple pour le remplacer ?

On se retrouve ainsi avec un client assez léger, capable d'échanger des messages un peu à la manière des e-mails ou de gérer des listes de diffusion, le tout sans serveur central, de manière anonyme et avec un chiffrement activé de bout en bout.

Bitmessage

Il faut dire que, comme nous l'évoquons souvent, l'e-mail est une sorte d'aberration sécuritaire. Il est aujourd'hui massivement utilisé, mais on ne compte plus les problèmes auquel il fait face et qui ne gênent, finalement, pas grand monde. Vous pouvez ainsi vous faire passer pour n'importe quel expéditeur, la quasi-totalité des échanges n’est ni signée, ni chiffrée, et vous ne pouvez pas savoir si au cours de son transit, il a été intercepté même lorsque vous utilisez le protocole SSL pour vos envois / réceptions.

De plus, n'importe qui peut vous envoyer des messages en récupérant votre adresse, avec une gestion des spams qui est certes de plus en plus efficace, mais encore assez empirique. C'est aussi tout cela qui permet l'extension du phishing et des scams. Philip Zimmermann, le créateur de PGP, a toujours indiqué que pour lui, un e-mail était une sorte de carte postale numérique, que n'importe qui pouvait lire. Il l'a encore récemment répété dans le documentaire Les internets diffusé sur Arte, et il a raison.

Bitmessage : plus qu'une alternative à l'e-mail, un outil simple à utiliser

Mais toutes les tentatives pour lui trouver un remplaçant n'ont pas vraiment fonctionné. Certes, les jeunes utilisent sans doute plus les messageries instantanées que les e-mails, ce qui règle une partie des problèmes, mais leur gestion plus que centralisée et la volonté de certains acteurs à exploiter votre vie privée contre ces services posent de toute façon problème. 

Bitmessage ne sera sans doute pas une solution générale à tout cela, mais l'outil qui est encore assez jeune a l'avantage de simplifier pas mal d'étapes, notamment la gestion des clefs de chiffrement, la gestion du carnet d'adresses, etc. Il faudra donc surtout le voir que comme une alternative à OpenPGP rapide à prendre en main, par exemple. 

Son principe de fonctionnement est assez simple. Vous téléchargez un fichier exécutable disponible par ici. Celui-ci comprend l'ensemble du logiciel et, via les paramètres, vous pourrez même en faire une version portable à utiliser depuis une clef USB par exemple.

Il faut savoir que votre machine soit un élément complet du réseau, le port 8444 est utilisé (TCP) si possible. S'il n'est pas accessible ou redirigé depuis votre routeur, l'icône de connexion sera jaune, mais tout fonctionnera parfaitement. Dans le cas contraire, elle sera verte. En cas d'absence de connexion, elle sera rouge.

Créer une nouvelle adresse ou une mailing-list : simple comme bonjour

La première chose à faire est de vous créer une identité dans la section « Your identities > New ». Une identité est composée d'une série alphanumérique qui commence par « BM- ». C'est un peu votre adresse mail, elle vous permettra d'envoyer et de recevoir des messages. Pour la générer, deux méthodes sont proposées. Une totalement aléatoire qui ne pourra pas être récupérée en cas de perte des fichiers de l'application ou de nouvelle installation.  Elle est à privilégier pour les échanges temporaires.

Une seconde vous permet plutôt d'utiliser une passphrase connue uniquement de vous et qu'il faudra garder secrète puisqu'elle permettra de recréer votre adresse depuis n'importe quelle machine. Malheureusement, il n'existe pour le moment pas de système de révocation en cas de compromission de l'adresse en question, comme c'est le cas avec les clefs PGP par exemple. Notez que chaque adresse devra être identifiée par un label qui vous permettra de vous y retrouver, mais qui ne sera visible que par vous.

Via votre liste de clefs, vous pourrez avoir accès à plusieurs options via un clic droit sur chaque élément. Copier votre adresse pour la fournir à un tiers, l'activer ou la désactiver et la faire se comporter comme une pseudo-mailing-list. Si c'est le cas, tous les mails envoyés à cette adresse seront renvoyés à tous ceux qui décideront de s'y abonner (via l'onglet « Subscriptions »).

En effet, outre la capacité d'envoyer un message à une adresse, vous pourrez décider d'y souscrire. Si elle envoie un message qu'elle veut diffuser largement, vous le recevrez. La différence dans le cas de la pseudo-ML c'est que chacun peut faire parvenir un message aux abonnés, un peu comme pour recréer un forum. 

Un fonctionnement en liste blanche ou noire et un carnet d'adresse pas si inutile

Pour le reste, on retrouve le comportement d'un client mail ultra-basique. Il est possible d'envoyer et de recevoir des messages, mais sans aucune hiérarchie entre eux. Un carnet d'adresses et une liste noire vous permettent de gérer les personnes avec qui vous voulez ou non communiquer.

Notez d'ailleurs que la présence d'un contact dans le carnet d'adresses n'est pas forcément anodine. En effet, dans les paramètres vous verrez des champs dédiés à la « difficulté ». Pour valider un message lors de son envoi, un calcul sera nécessaire. Celui-ci sera plus ou moins complexe selon les réglages du récepteur, mais aussi selon la présence ou non de l'expéditeur dans son carnet d'adresses et le fait qu'ils aient déjà échangé ensemble ou non. Ceux qui veulent des détails concernant cette procédure peuvent se rendre par ici ou lire ce PDF.

Bien entendu, le tout peut être utilisé de manière conjointe avec le réseau Tor ou un proxy. Il reste maintenant à espérer que le projet évolue, notamment dans la gestion des messages, mais aussi sa capacité à échanger des fichiers par exemple. Distribué sous licence MIT, le code source est disponible sur GitHub.

• Télécharger Bitmessage