L’application FireChat, qui permet de créer un maillage local de messagerie instantanée, vit actuellement un immense décollage à Hong Kong. Le mouvement étudiant, à l’origine des manifestations dans l’ancienne province britannique, a provoqué le téléchargement de 300 000 copies de l’application pour échapper à la censure. Mais FireChat n’assure pas la sécurité des communications.
Des centaines de milliers de téléchargements à Hong Kong
FireChat est une application apparue en mars dernier sur iOS, avant d’arriver sur Android un mois plus tard. Son concept est simple : créer un réseau de communication pair-à-pair n’ayant besoin d’aucune connexion Internet pour fonctionner. Les données circulent via le Bluetooth et le Wi-Fi à travers des appareils proches, ce qui permet de diffuser rapidement des informations à une foule, notamment quand il y a trop de personnes au même endroit pour que les réseaux GSM fonctionnent correctement.
En juin dernier, l’application s’était déjà fait un nom durant un épisode de censure en Irak, où 40 000 utilisateurs l’avaient récupérée pour pouvoir continuer à communiquer. Désormais, c’est en Chine, et plus précisément à Hong Kong, que FireChat fait parler d’elle. Le vaste mouvement de protestation pro-démocratique, appelé « révolution des parapluies » (et qui a déjà provoqué le blocage d’Instagram), a été averti qu’Internet pouvait être complètement coupé. En réaction à l’appel de Joshua Wong, l’une des têtes de file du mouvement Occupy Central, FireChat a été téléchargé plus de 300 000 fois.
Une application sans aucune sécurité
Il s’agit d’un véritable succès pour FireChat et son éditeur, Open Garden, qui a d’ailleurs pour fondateur un Français, Micha Benoliel. Il s’est d’ailleurs retrouvé un peu par hasard à Hong Kong, comme le racontait Le Monde il y a quelques jours. Il a décidé de rester un peu sur place car la situation devenait un laboratoire permettant de tester FireChat dans un contexte inédit. Plusieurs fonctionnalités vont même être développées en conséquence, notamment la faculté d’envoyer un message à plusieurs kilomètres en se servant des téléphones comme relais, et la possibilité de créer des comptes authentifiés et certifiés, qui permettront aux leaders de ne pas faire l’objet de faux comptes.
La sécurité est en effet globalement un souci avec FireChat. L’application et le réseau qu’elle crée n’ont pas été pensés pour empêcher la circulation des fausses informations, ni même pour garantir la sécurité des échanges. Le Citizen Lab de l'Université de Toronto annonçait déjà clairement la couleur en juillet dernier en indiquant que rien ne pouvait empêcher la récupération des informations qui transitaient dans les échanges, puisque rien n’est chiffré. OpenGarden en rajoute une couche en indiquant dans un tweet que se servir de FireChat revient à crier dans un mégaphone : « les messages sont publics, comme les tweets ».
Les utilisateurs appelés à se méfier
Et il s’agit d’un vrai problème puisque le contexte justement des évènements à Hong Kong invite à la plus grande prudence dans les échanges. Comme l’a relevé Bluetouff, la sécurité des échanges laisse d’autant plus à désirer que le site officiel de l’application était capable de fournir la liste des échanges proches géographiquement. Même si l’adresse qui permettait de le faire n’est plus fonctionnelle, elle montrait que des précautions étaient nécessaires. En outre, comme le pointe Benjamin Sonntag, cofondateur de La Quadrature du Net, le certificat SSL X509 de FireChat expire aujourd'hui et n'a pour l'instant pas été renouvelé.
Et donc le certificat #SSL X.509 de Firechat @OpenGarden a expiré aujourd'hui et ils ne l'ont pas renouvelé #FAIL #HongKong ...
— Benjamin Sonntag (@vincib) 6 Octobre 2014
Certains se sont d’ailleurs penchés sur une analyse fine du mode de fonctionnement de l’application, notamment Breizh-Entropy, un groupe de hackers basé à Rennes. De nombreux problèmes ont été soulevés, notamment la nécessité de créer un compte (ce qui est incompréhensible pour Bluetouff dans le cadre d’un réseau maillé), la fragilité des échanges et l’extrême facilité avec laquelle on peut récupérer tout ce qui transite à portée de transmission.
Pour autant, même si la sécurité pourrait être très largement améliorée, OpenGarden ne ment pas sur les capacités de son application. Micha Benoliel a ainsi indiqué à Hong Kong aux étudiants qu’aucune sécurité ne pouvait garantir leurs échanges puisque FireChat n’avait pas été pensé pour ce type d’utilisation. C’est d’ailleurs de ces échanges que sont nées plusieurs idées, dont celle de fournir à terme des comptes certifiés. Mais de nombreuses conclusions (Bluetouff, Breizh-Entropy, Citizen Lab…) pointent toutes vers un tel manque de sécurité que les utilisateurs devraient s’en méfier si l’objectif est d’échapper à une pression exercée par un gouvernement.
