Le service de messagerie chiffrée Cryptocat n'est plus. Après un an et demi sans mise à jour, son concepteur a décidé de le mettre hors ligne. L'objectif est de proposer une nouvelle mouture qui prendra la forme d'une application native pour PC censée combler le vide sur cette plateforme.
Ce n'est qu'un au revoir. Le 19 février dernier, le service de discussion chiffrée Cryptocat a été arrêté par son initiateur, Nadim Kobeissi, après près de cinq ans d'activité. « Depuis février 2015, j'ai passé presque tout mon temps sur mes études supérieures. Je n'ai pas pu maintenir Cryptocat et ce projet n'a pas été mis à jour depuis 19 mois. La version iPhone ne fonctionne plus depuis quatre mois » explique-t-il dans un message sur la page d'accueil du site. La meilleure solution était donc de le couper. Le site est désormais hors-ligne.
Pour rappel, Cryptocat est un service de discussion anonymisée, où il suffit d'un pseudo et d'un nom de salon pour parler. Reconnu pour sa simplicité d'utilisation, il a été pionnier dans le chiffrement web côté client (en JavaScript), avec des pics de popularité pendant le printemps arabe et après les révélations d'Edward Snowden. Comme il nous l'expliquait dans son portrait l'an dernier, il a débuté un doctorat à l'INRIA de Paris, avec une thèse sur la cryptographie pour le web.
Une nouvelle version prévue dans l'année
Il a également conçu la partie cryptographique et le client de Peerio, une application open source de discussion et de stockage de fichiers chiffrée. Il a quitté la société depuis, suite à un différend sur la direction du projet dans son approche de l'offfre dédiée aux entreprises (qui a été l'occasion d'échanges assez sévères sur Twitter).
Quoi qu'il en soit, l'arrêt de la version web de Cryptocat ne signifie pas la mort du projet, loin de là. Nadim Kobeissi travaille sur la version suivante, avec un client classique écrit pour le « desktop » et non le web. Cette « réécriture complète de Cryptocat » doit intégrer des technologies sur lesquelles Kobeissi a travaillé au laboratoire Prosecco d'INRIA.
De même, alors qu'il avait lancé (sans succès) une campagne Kickstarter pour des clients mobiles de Cryptocat à la mi-2014, cette nouvelle édition sera uniquement tournée vers le bureau.
« C'est dû à ma conviction que la question a déjà été réglée de manière élégante sur mobile par d'autres logiciels open source bien écrits, alors que les PC et portables ont encore besoin d'une alternative pour un logiciel de messagerie pratique, fun et sécurisé, développé dans l'esprit d'une informatique accessible » explique Kobeissi. Cette nouvelle édition doit arriver d'ici la fin de l'année.
New Cryptocat in native desktop client glory. Expect things to look very different by release, but barebones works. pic.twitter.com/Vf8fZngw7E
— Nadim Kobeissi (@kaepora) 22 février 2016
Un changement de cap pour le projet
D'une certaine manière, il s'agit d'un changement de cap pour Cryptocat. Alors qu'il s'agissait jusqu'ici d'un service de salons à la IRC sur le web, la future version passe sur un modèle de messagerie instantanée plus classique, tournée vers le PC. « J'essaie simplement de remplacer Pidgin » affirme son concepteur sur Twitter, dans une série de tweets sur cette future version. L'âge et les alternatives aidant, Pidgin est de moins en moins recommandé pour les discussions chiffrées, alors que le besoin existe toujours sur PC.
Le futur client doit donc proposer une liste de contacts (synchronisée avec le service) et un client tourné vers la sécurité. « La meilleure fonction de Cryptocat : à quel point il sera ennuyeux. Liste de contacts, discussion, partage de fichiers, crypto fiable (Axolotl), rien de plus » est-il encore affirmé sur Twitter. Il sera donc fondé sur le moteur cryptographique de Signal (Axolotl), conçu par OpenWhisper. De plus, chaque fenêtre (dont la liste de contacts) doit être sandboxée, avec son propre « thread » processeur.
Reste que le projet doit, une nouvelle fois, être mené entièrement par Kobeissi, qui refusera autant les dons que les propositions de modification (pull requests). Certains points étaient tout de même à discuter lors de l'annonce, comme les systèmes sur lesquels le client sera disponible. Un sondage avait ainsi été mis en ligne à la fermeture de l'ancienne version du service.
Un fork disponible sur GitHub
Si le code de l'ancien Cryptocat est toujours disponible, l'annonce de l'arrêt du service a justifié de nouveaux forks. Est ainsi arrivé Cryptodog, qui reprend le fonctionnement de son ainé, en lui apportant une série de modifications esthétiques. « Cryptodog intègre les défauts de Cryptocat 2.2.2. [...] Ce n'est pas à prendre à la légère. Si vous cherchez un client de messagerie privée et sûre, cherchez ailleurs » prévient le projet, qui recommande Ricochet et Signal.
Contacté, Nadim Kobeissi n'a pas souhaité nous répondre avant la sortie de la nouvelle version. En attendant, il recommande de suivre l'avancement du projet via ses tweets.
Commentaires (21)
#1
mouais.
" />
donc en gros il va nous pondre un sous-Signal alors que Signal pour desktop est déjà en beta depuis quelques mois (et ça fonctionne nickel), un truc desktop-only en plus…
quel intérêt?
aujourd’hui si t’as pas un truc multi-plateformes, ça sert à rien. d’ailleurs pour ça que Signal sort une version desktop.
sans compter que là encore, il est tout seul à bosser dessus.
d’un autre côté, c’est pas réellement étonnant vu comment il traite les autres comme de la merde sur twitter…
#2
La meilleure solution était donc de le couper. Le site est désormais https://crypto.cat/+&cd=1&hl=fr&ct=clnk&gl=fr” target=”_blank” rel=“nofollow”>hors-ligne.
Ou le passer open source ! Là c’est plutôt radical comme solution
#3
ben il était déjà open source puisqu’il y a un fork…
" />
toi t’as pas lu la news en entier!
#4
Mouais…. L’intérêt de Cryptocat c’était justement d’être une simple extension… Sinon j’utilise déjà Tox, donc je ne pense pas que je migrerais vers cette solution… Wait & see comme on dit.
#5
C’est fini de de la “Crypte aux chats”, j’aimai bien, je l’utilisais il y’a quelques années. Maintenant, le gars il a d’autres chats à fouetter, je ne crois pas trop à un retour : parce qu’il y a maintenant plein d’autres solutions, et que c’est chronophage et pas très valorisant in fine ce type de projet.
Merci à lui en tout cas :)
#6
Cryptocat était déjà une des seules messagerie sécurisée fiable. oui il y en a plein d’autres, comme Tox notamment cité au dessus par @Ricard mais ces logiciels n’ont jamais été audités et surtout on ne sait foutrement rien des développeurs …
Donc perso, je vais surement continuer à utiliser Cryptocat à l’avenir surtout que la mise en place d’une liste de contacts est un vrai plus pour l’utilisabilité !
#7
#8
Telegram?
#9
#10
Tout à fait !
Et d’ailleurs je suis super déçu de Signal qui est pourtant tellement citée comme exemplaire plus haut. Elle demande une liste d’autorisation longue comme le bras, et elle a besoin d’un numéro de téléphone qu’elle vérifie en capturant les SMS.
Super pour un truc anonyme et respectant la vie privée, ça commence fort !..
Allez, poubelle comme les autres. Décidément je n’ai pas encore trouvé d’app de messagerie qui ne demande PAS de numéro de téléphone, à part bien sûr appear.in, mais c’est plutôt un site web (WebRTC) qu’une véritable app. Tiens, je vais peut-être leur suggérer une app du coup.
#11
J’avais bien vu ça, mais alors pourquoi parler de “fermeture comme meilleure solution” ?
#12
Ils sont rigolos les gens à dire du mal de cette application sans avoir le fin mot de l’histoire, si je ne me trompe pas, et j’éspère que ce n’est pas le cas, il s’agit bêtement d’un client xmpp orienté sur le chiffrement.
Si c’est le cas, alors leur critiques, proposant des solutions encore moins standardisé, voir même pas ouverte, sont juste à côté de la plaque.
Si ce n’est pas le cas, ce qui me décevrais beaucoup de ce développeur, alors c’est effectivement une énieme application de messagerie inutile qui parle dans son coin.
Pendant ce temps là xmpp continu son petit bout de chemin :https://conversations.im/omemo/
#13
découvert récemment
 https://www.goldenfrog.com/FR/cyphr ??? des avis
#14
#15
J’utilise Conversations comme client chat sur mon téléphone.
Par contre, je l’ai pris sur F-Droid et non sur le store Google car payant sur le store google et non sur F-Droid (comme beaucoup d’app de f-droid en fait).
J’utilise SMSSecure et non la version de Open Whisper car elle passe par le forfait Data et non par le forfait SMS au prix du fait de ne pouvoir chiffrer les matadatas (vu que c’est par sms).
Bon et bien sur, dans la logique, j’utilise le client mail K9-Mail pour les mails avec chiffrement PGP, Tinfoil for twitter pour avoir une navigation sandboxé dans la version mobile de Twitter, etc …
#16
tout con: le but c’est de pouvoir aussi envoyer des SMS.
résultat j’ai la même appli pour les SMS, la voix et les message chiffrés, et je me pose pas la question de savoir si le mec en face a l’appli ou pas, c’est complètement transparent.
résultat j’ai réussi à la faire adopter à quelques personnes, chose que j’aurais jamais réussi à faire avec des trucs comme tox ou cryptocat, qui sont des trucs de gros crypto-nerds.
maintenant si t’as des questionnements concernant le fonctionnement de l’appli, et des doutes concernant le protocole ou l’implémentation de la solution, toutes les réponses sont sur le site d’openwhisper, et le code est totalement ouvert.
concernant les développeurs, ben c’est quand même pas mal de savoir qui développe le truc sur lequel tu bases ta vie privée, rien que pour savoir la vision qu’ils ont des choses et s’ils savent faire de la crypto?
parce que pondre une appli c’est à la portée du premier mickey venu. avoir une bonne implémentation de la crypto, ou carrément développer un nouveau protocole, c’est une autre histoire.
je dis pas que c’est la panacée hein, je dis juste qu’y a quand même un paquet de mecs qui savent de quoi ils parlent, qui disent que Signal est la meilleure appli et le meilleur protocole existant. A commencer par Snowden.
#17
alors j’ai regardé.
donc pour moi c’est poubelle. y’a plein d’applis qui font au minimum du forward secrecy et qui sont ouvertes.
#18
A chacun ses besoins, à chacun sa sensibilité sur la “Privacy”.
A mon sens devoir donner son numéro de tel annule toute notion de “Privacy”, donc je ne vais pas plus loin !
Tu as sans doute moins de sensibilité sur ce sujet là… tant mieux pour toi… mais fais tout de même attention avec la liste d’accès que l’app demande c’est un vrai slurpware.
Mais merci NxInpact, j’ai enfin trouvé ce qu’il me faut grâce à un article récent ici-même :
http://www.nextinpact.com/news/98879-slack-veut-devenir-nouvel-outil-communication-incontournable-et-active-appels.htm
Ça fonctionne indifféremment sur un PC ou un mobile. Sur PC on peut fonctionner sans installer quoi que ce soit avec simplement un navigateur, ou bien installer l’application native Linux, Mac, W$.
Personnellement, j’évite tout ce qui n’est pas dans le repo Ubuntu officiel, donc le fonctionnement via navigateur me va bien.
C’est en fait un outil destiné à des “équipes”, mais rien n’empêche d’y chatter 1⁄1… et les appels audio arrivent (déjà fonctionnel sur Chromium).
#19
C’est d’une tristesse affligeante la pauvreté des commentaires sur cette news. Ça confond vie privée et anonymat, ça se permet de juger un développeur avec un gros background en cryptographie en plein en train de faire un doctorat dans le domaine d’ailleurs, en quoi le fait d’être une personnalité publique empêcherait-il de développer un bon logiciel de chat sécurisé ? … etc
des geeks qui pètent plus haut que leur cul quoi
#20
les autorisations sont toutes détaillées sur le site d’OpenWhisper.
effectivement chacun ses besoins, mais je n’ai pas “moins” de sensibilité.
c’est juste que c’est la seule appli ouverte qui utilise un protocole reconnu et robuste, qui permette des conversations de groupe et de la voix, et qui casse pas les couilles des utilisateurs avec une interface cryptique ou qui demande une configuration de nerd: c’est juste super simple et user-friendly.
par ailleurs tu parles de Slack, sans doute dans une toute autre optique puisque niveau sécu à priori c’est absolument pas l’objectif… ^^
#21