L'équipe derrière Bleep, l'outil de messagerie instantanée sécurisée de BitTorrent, continue de faire évoluer son bébé. Elle vient ainsi d'annoncer la mise en place d'un système d'échange de messages hors-ligne asynchrone. Un élément plus complexe qu'il n'y paraît.
Dans un billet, l'équipe de développement de Bleep revient sur sa dernière fonctionnalité en date, désormais accessible à tous : l'échange de messages asynchrone hors-ligne. Pour faire simple, cela vous permet d'envoyer un message à un tiers qui n'est pas connecté, ce qui était déjà possible depuis le mois dernier. Mais pour le lire, la personne concernée n'aura pas besoin que vous soyez vous-même en ligne. D'où la notion d'asynchrone.
La conversation hors-ligne améliorée dans un outil qui mise sur la sécurité
Ce point peut apparaître comme un détail, mais il cache plus que cela. En effet, pour qu'un tel échange soit possible, il faut que le message existe sur le réseau même lorsque ni l'expéditeur, ni le destinataire ne sont connectés. Cela ouvre ainsi la voie à la récupération par une personne mal intentionnée qui arriverait à s'en emparer d'une manière ou d'une autre.
L'équipe indique avoir utilisée la DHT (Table de hachage distribuée) pour arriver à ses fins, l'un des éléments utilisés dans le protocole BitTorrent. Il s'agit en effet d'un système décentralisé et distribué qui permet de stocker et de retrouver facilement une donnée au sein d'une table associant une clef à une valeur. Mais le détail précis de son utilisation dans le cadre de cette fonctionnalité de Bleep n'est malheureusement pas communiqué.
C'est d'ailleurs là que s'exprime le mieux toute la problématique autour des outils annoncés comme sécurisés, mis en ligne par BitTorrent : leurs sources n'étant pas publiées, il faut donc se reposer sur la bonne volonté et les annonces de ses développeurs pour en savoir plus, sans avoir la possibilité de décortiquer ou d'auditer le fonctionnement de l'ensemble. Des phases pourtant vitales pour ce qui est d'assurer la confiance dans des applications de ce genre, ce qui est la base même de leur intérêt.
La confidentialité persistante arrive, mais quid de la confiance ?
Dans le même temps, on apprend que si les messages sont chiffrés de bout en bout pour le moment, une prochaine mouture apportera le support de la confidentialité persistante (Forward Secrecy). Ici, le but est de rendre chaque chiffrement unique à une conversation, afin de ne pas permettre de la déchiffrer a posteriori, même si l'on arrive à récupérer la clef privée de l'un des utilisateurs. Cela passe par la mise en place d'une paire de clefs propre à chaque échange et impossible à retrouver à partir des clefs privées (ratcheting), qui ne sera utilisée que de manière temporaire, avant d'être supprimée.
Avec le chiffrement des conversations, le système de connexion qui ne nécessite pas d'autorité centrale et l'obfuscation des métadonnées, cela fera sans doute de Bleep un outil plutôt complet. Mais il faudra sans doute plus que cela pour qu'il devienne un outil auquel on puisse se fier au-delà de quelques échanges entre amis un peu paranos.
