Secret, Hemlis : abandons en série pour les services de messagerie chiffrée

La semaine dernière, l’application de messagerie anonyme Secret a officiellement jeté l’éponge, après 16 mois d’activité. Même destin pour Hemlis, l’application de chat chiffré de Peter Sunde, l’un des co-fondateurs de The Pirate Bay. La concurrence, elle, s’intensifie alors que la sécurité des échanges devient un argument de plus en plus flou.

La nouvelle est tombée il y a quelques jours, Secret abandonne la partie. Lancée en janvier 2014, l’application de messagerie anonyme a annoncé sa fermeture après à peine 16 mois d’activité. Dans la vague d’applications « sécurisées » arrivée ces dernières années, Secret se différenciait par l’absence de profils. Les messages anonymes étaient partagés avec les amis, sans qu’ils sachent qui était inscrit au service.

« Notre vision est de créer un monde plein d’authenticité » écrivait David Byttow, l’un des deux fondateurs. Dans les faits, le service a connu de nombreuses polémiques, après la bonne réception initiale. Les messages totalement anonymes ont plus laissé libre-cours au harcèlement en ligne, sans conséquences, qu’au déballage de sentiments sincères. Selon le New York Times, l’entreprise n’était pas prête à gérer le flot de messages négatifs.

En août, un juge brésilien a demandé à Apple et Google de supprimer l’application de leurs magasins et des terminaux des utilisateurs. Microsoft a lui été concerné pour un client tiers sur Windows Phone. Le harcèlement totalement anonyme par l’application est en cause, les plaintes devant être transmises en anglais, via le ministère des affaires étrangères. Plus généralement, la liberté d’expression au Brésil exclut l’anonymat.

Secret, redessiné puis abandonné

En décembre, l’application a été redessinée pour ressembler à un de ses concurrents directs, Yik Yak. La nouvelle version ajoutait le chat, l’envoi de messages sans être labellisé comme « ami » ou encore des recherches locales. Las, la manœuvre n’aura pas suffi à freiner le déclin de l’application, au contraire. L’abandon aurait même accéléré après le redesign, sonnant le glas du service. Le service dit avoir compté jusqu’à 15 millions d’utilisateurs, sûrement au plus haut de son usage.

Au total, Secret avait levé 35 millions de dollars en juillet, de la part de fonds d’investissement, de vedettes comme Ashton Kutcher ou de l’un des fondateurs de Reddit, Alexis Ohanian. Après le dernier tour de table, l’entreprise était valorisée 100 millions de dollars. Les deux fondateurs, David Byttow et Chrys Bader, auraient revendu une partie de leur part dans la société pour 6 millions de dollars, sans prévenir les employés.

Ces derniers l’ont appris l’été dernier, au cours d’une réunion lancée par les deux entrepreneurs. Le but de la manœuvre : rassurer les employés, échaudés par la nouvelle. Une partie a quitté l’entreprise depuis, pour des horizons meilleurs, y compris des piliers du développement des applications. David Byttow aurait prévenu les employés restants de la fermeture mardi, en leur fournissant leurs indemnités de départ, selon des sources internes interrogées par le New York Times. La nouvelle est d’abord sortie mardi 28 avril sur BuzzFeed, avant d’être confirmée le lendemain par Secret dans un billet de blog.

I've received emails from over 400 viable companies interested in our team. So grateful, thank you. We're going through each and every one.

— David Byttow (@davidbyttow) 30 Avril 2015

« Je crois en une communication honnête, ouverte et en une expression créative. L'anonymat est un excellent moyen de l'atteindre. Mais c'est aussi l'arme à double-tranchant ultime, qui doit être maniée avec le plus grand soin. J'ai hâte de voir ce que d'autres feront dans ce domaine » résume David Byttow dans son billet. L’entreprise sera fermée dans les prochaines semaines, les derniers employés étant « accompagnés » pour trouver un nouvel emploi. Le capital non-dépensé sera lui rendu aux investisseurs.

Hemlis, une messagerie privée qui ne verra jamais le jour

Un autre service a été stoppé net la semaine dernière : Hemlis (« Secret » en suédois), le projet de messagerie instantanée sécurisée par Peter Sunde, l’ancien porte-parole de The Pirate Bay. Comme une partie de ses concurrents, Hemlis a été lancé peu après les révélations d’Edward Snowden sur la surveillance d’Internet par la NSA, en juillet 2013. Le but était de fournir une messagerie chiffrée simple et esthétique, sur mobile. Un objectif simple, qui ne différencie que peu le produit des nombreux concurrents lancés à la même époque.

Pour se financer, l’équipe avait lancé une campagne de financement participatif, demandant 100 000 dollars aux futurs utilisateurs. L’objectif a été dépassé en moins de deux jours, en partie grâce à la réputation de Peter Sunde et ses projets réussis, comme The Pirate Bay ou Flattr. Une vidéo de démonstration de l’app est arrivée quelques semaines plus tard. Puis le projet a peu avancé. En deux ans, l’équipe a surtout produit des billets de blog et des vidéos, espacés de plusieurs mois, ainsi qu’une version bêta.

Le 22 avril, l’équipe a annoncé l’abandon du projet dans un billet de blog. « Les nouvelles messageries échouent misérablement. Pendant que nous travaillions sur Hemlis, de nouveaux et d'anciens services ont été lancés et mis à jour. Aucun n'a pu ne serait-ce que rayer la surface du marché, ils ont juste grossi » estime l'équipe dans son billet. L'argument d'une messagerie sécurisée et agréable s'avèrerait insuffisant. « Sortir quelque chose que trop peu de gens utiliseront, c'est créer un produit qui ne peut pas vivre sans capital externe. Ce n'est pas une voie que nous voulons prendre » conclut l'équipe du projet, annonçant l'abandon de la bêta.

We'll release the usable parts of the #hemlis code (after cleanup and such for higher useability). It could be used as a decent xmpp-client.

— Peter Sunde (@brokep) 22 Avril 2015

De son côté, Peter Sunde explique que l’équipe de trois personnes, avec plus de 130 000 dollars en poche (dont 30 000 dollars « volés » en Bitcoin) ne faisait pas le poids face à une concurrence rude et bien mieux financée. Tout l’argent a été dépensé, l’un des développeurs a eu un enfant et Sunde a dû purger une peine de prison pour son implication dans TPB. Ne voulant pas demander plus d’argent, l’équipe n’aurait eu qu’un choix, arrêter le projet. Ce qui est déjà produit sera fourni sous licence ouverte, promet-il.

Les services se multiplient, sans vrai vainqueur

Hemlis n’était finalement qu’une goutte d’eau dans la marée d’applications « sécurisées » qui a envahi Internet ces dernières années, entre autres motivées par les révélations Snowden. Bleep de BitTorrent, Cryptocat, Peerio, PostSecret, Signal, Telegram, Whisper ou Yik Yak sont quelques-uns des noms qui sont devenus familiers des utilisateurs souhaitant des communications vraiment privées. Le problème est qu’aucune n’a encore su s’imposer, chacune péchant d’une manière ou d’une autre.

Le cas le plus emblématique est celui de Telegram, qui propose une messagerie et un stockage cloud privés, en permettant de chiffrer les communications et de les auto-détruire. La promesse a attiré de nombreux utilisateurs, d’abord sur mobile, puis sur PC, jusqu’à atteindre 50 millions de membres actifs en décembre. La communauté cryptographique, elle, est sceptique.

Derrière la promesse, se cachent des failles et des choix de sécurité discutables, comme le fait de ne pas chiffrer les communications par défaut ou d’obliger la connexion simultanée des deux clients pour l’activer. Des changements « qui prennent au maximum un mois » nous expliquait Nadim Kobeissi, le concepteur de Cryptocat, derrière la cryptographie du service Peerio, à l’occasion de son portrait.

Une autre problématique est l’usage lui-même. Les ennuis de Secret autour du harcèlement et de la modération des messages sont aussi connus de services concurrents. C’est le cas par exemple de Yik Yak, que Secret a voulu imiter, et qui s'est volontairement bloqué dans l’enceinte des collèges et lycées américains, via du geo-fencing. L’app avait d’abord été interdite par certaines écoles et impliquée dans des enquêtes de police. Ce harcèlement est également une épine dans le pied pour ces startups qui veulent limiter les charges. Whisper, par exemple, sous-traite une partie de sa modération aux Philippines.

Entre des services qui veulent s’accaparer à tout prix les utilisateurs, la concurrence technique est un autre problème. La majorité de ces services développent leurs propres technologies, pas toujours open source, et qui peuvent se révéler être un problème à long terme pour ces entreprises. Certains, comme Peerio ou Signal (TextSecure et Redphone sur Android), sont fondés sur des bases techniques solides et ouvertes, mais cela reste encore très rare.

Une concurrence là où il faudrait l’attendre

En dehors du cercle des services « confidentiels », la sécurité est généralement la dernière des préoccupations. Le meilleur exemple est sûrement Yo, une application au succès fulgurant en juin dernier, qui permet d’inonder ses contacts de notifications comportant seulement le mot « Yo ». Rien de plus. Résultat : des failles importantes ont été très rapidement trouvées, révélant le numéro de téléphone des utilisateurs et permettant d’envoyer n’importe quel message texte au lieu du « Yo » prévu.

Face à de tels exemples, les services sécurisés ne semblent pas s’être méfiés des mastodontes de la messagerie sur mobile, comme Facebook, Hangouts, iMessage, Skype, Viber, WeChat ou WhatsApp. Pourtant, le danger pourrait bien venir de là. iMessage d’Apple chiffre par exemple l’ensemble des communications avec une clé détenue par le groupe californien. De son côté, le très populaire WhatsApp a intégré le moteur de chiffrement d’Open Whisper Systems, à l’origine de Signal, à ses applications. Cela sans parler de services désormais classiques, comme Snapchat et ses photos éphémères, qui insistent sur leur sécurité et leur transparence.

Avec un tel fonctionnement, ces entreprises fournissent un niveau minimum de sécurité en enlevant cette problématique de l’esprit de l’utilisateur, qui ne demande souvent pas mieux que de ne pas s’en soucier. Que la clé soit détenue par un tiers, au fond, importerait peu, tant que les communications sont chiffrées. Reste tout de même un manque global de transparence, que proposent certains services plus spécialisés, open source. C’est ce qui amène Nadim Kobeissi à arguer que WhatsApp n’est en fait pas sécurisé, car il n’apporte pas la garantie que les communications ne peuvent être interceptées.

La question reste toujours de savoir de qui ces services sont censés protéger. De parents indiscrets ? De camarades ou de collègues à qui on n’ose pas tout dire ? D’un gouvernement ? Elle se pose d’autant plus au moment où la NSA suggère aux entreprises de fournir des accès aux contenus des utilisateurs, libérés de tout chiffrement. Cela avec le risque que cet accès soit utilisé par un tiers sans que le service puisse l’empêcher. La centralisation de ces services est d’ailleurs un sujet important, au moment où Viber ou WhatsApp sont bloqués au Burundi parce qu’ils contribuent à l’organisation de manifestations contre le président. Une carte à jouer pour les services spécialisés, même si le chemin risque d’être encore très long.