Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Cryptocat ferme ses portes, la nouvelle version se prépare

Dans la jungle, terrible jungle...

Cryptocat ferme ses portes, la nouvelle version se prépare

Le 02 mars 2016 à 16h10

Le service de messagerie chiffrée Cryptocat n'est plus. Après un an et demi sans mise à jour, son concepteur a décidé de le mettre hors ligne. L'objectif est de proposer une nouvelle mouture qui prendra la forme d'une application native pour PC censée combler le vide sur cette plateforme.

Ce n'est qu'un au revoir. Le 19 février dernier, le service de discussion chiffrée Cryptocat a été arrêté par son initiateur, Nadim Kobeissi, après près de cinq ans d'activité. « Depuis février 2015, j'ai passé presque tout mon temps sur mes études supérieures. Je n'ai pas pu maintenir Cryptocat et ce projet n'a pas été mis à jour depuis 19 mois. La version iPhone ne fonctionne plus depuis quatre mois » explique-t-il dans un message sur la page d'accueil du site. La meilleure solution était donc de le couper. Le site est désormais hors-ligne.

Pour rappel, Cryptocat est un service de discussion anonymisée, où il suffit d'un pseudo et d'un nom de salon pour parler. Reconnu pour sa simplicité d'utilisation, il a été pionnier dans le chiffrement web côté client (en JavaScript), avec des pics de popularité pendant le printemps arabe et après les révélations d'Edward Snowden. Comme il nous l'expliquait dans son portrait l'an dernier, il a débuté un doctorat à l'INRIA de Paris, avec une thèse sur la cryptographie pour le web.

Une nouvelle version prévue dans l'année

Il a également conçu la partie cryptographique et le client de Peerio, une application open source de discussion et de stockage de fichiers chiffrée. Il a quitté la société depuis, suite à un différend sur la direction du projet dans son approche de l'offfre dédiée aux entreprises (qui a été l'occasion d'échanges assez sévères sur Twitter).

Quoi qu'il en soit, l'arrêt de la version web de Cryptocat ne signifie pas la mort du projet, loin de là. Nadim Kobeissi travaille sur la version suivante, avec un client classique écrit pour le « desktop » et non le web. Cette « réécriture complète de Cryptocat » doit intégrer des technologies sur lesquelles Kobeissi a travaillé au laboratoire Prosecco d'INRIA.

De même, alors qu'il avait lancé (sans succès) une campagne Kickstarter pour des clients mobiles de Cryptocat à la mi-2014, cette nouvelle édition sera uniquement tournée vers le bureau.

« C'est dû à ma conviction que la question a déjà été réglée de manière élégante sur mobile par d'autres logiciels open source bien écrits, alors que les PC et portables ont encore besoin d'une alternative pour un logiciel de messagerie pratique, fun et sécurisé, développé dans l'esprit d'une informatique accessible » explique Kobeissi. Cette nouvelle édition doit arriver d'ici la fin de l'année.

Un changement de cap pour le projet

D'une certaine manière, il s'agit d'un changement de cap pour Cryptocat. Alors qu'il s'agissait jusqu'ici d'un service de salons à la IRC sur le web, la future version passe sur un modèle de messagerie instantanée plus classique, tournée vers le PC. « J'essaie simplement de remplacer Pidgin » affirme son concepteur sur Twitter, dans une série de tweets sur cette future version. L'âge et les alternatives aidant, Pidgin est de moins en moins recommandé pour les discussions chiffrées, alors que le besoin existe toujours sur PC.

Le futur client doit donc proposer une liste de contacts (synchronisée avec le service) et un client tourné vers la sécurité. « La meilleure fonction de Cryptocat : à quel point il sera ennuyeux. Liste de contacts, discussion, partage de fichiers, crypto fiable (Axolotl), rien de plus » est-il encore affirmé sur Twitter. Il sera donc fondé sur le moteur cryptographique de Signal (Axolotl), conçu par OpenWhisper. De plus, chaque fenêtre (dont la liste de contacts) doit être sandboxée, avec son propre « thread » processeur.

Reste que le projet doit, une nouvelle fois, être mené entièrement par Kobeissi, qui refusera autant les dons que les propositions de modification (pull requests). Certains points étaient tout de même à discuter lors de l'annonce, comme les systèmes sur lesquels le client sera disponible. Un sondage avait ainsi été mis en ligne à la fermeture de l'ancienne version du service.

Un fork disponible sur GitHub

Si le code de l'ancien Cryptocat est toujours disponible, l'annonce de l'arrêt du service a justifié de nouveaux forks. Est ainsi arrivé Cryptodog, qui reprend le fonctionnement de son ainé, en lui apportant une série de modifications esthétiques. « Cryptodog intègre les défauts de Cryptocat 2.2.2. [...] Ce n'est pas à prendre à la légère. Si vous cherchez un client de messagerie privée et sûre, cherchez ailleurs » prévient le projet, qui recommande Ricochet et Signal.

Contacté, Nadim Kobeissi n'a pas souhaité nous répondre avant la sortie de la nouvelle version. En attendant, il recommande de suivre l'avancement du projet via ses tweets.

Commentaires (21)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

alors j’ai regardé.




  • à priori c’est pas ouvert. donc on sait pas comment c’est implémenté, faut leur faire confiance.

  • à priori t’as pas de forward secrecy: quelqu’un qui chope ta clé pourra déchiffrer TOUS tes messages, passés et futurs. en gros c’est une sorte de PGP en messagerie, rien de plus (d’ailleurs ils parlent d’un “algo vieux de 30 ans”, donc ça doit être du PGP tout connement), totalement has been.



    donc pour moi c’est poubelle. y’a plein d’applis qui font au minimum du forward secrecy et qui sont ouvertes.

votre avatar

A chacun ses besoins, à chacun sa sensibilité sur la “Privacy”.



A mon sens devoir donner son numéro de tel annule toute notion de “Privacy”, donc je ne vais pas plus loin !

Tu as sans doute moins de sensibilité sur ce sujet là… tant mieux pour toi… mais fais tout de même attention avec la liste d’accès que l’app demande c’est un vrai slurpware.



Mais merci NxInpact, j’ai enfin trouvé ce qu’il me faut grâce à un article récent ici-même :

nextinpact.com Next INpactÇa fonctionne indifféremment sur un PC ou un mobile. Sur PC on peut fonctionner sans installer quoi que ce soit avec simplement un navigateur, ou bien installer l’application native Linux, Mac, W$.



Personnellement, j’évite tout ce qui n’est pas dans le repo Ubuntu officiel, donc le fonctionnement via navigateur me va bien.



C’est en fait un outil destiné à des “équipes”, mais rien n’empêche d’y chatter 11… et les appels audio arrivent (déjà fonctionnel sur Chromium).

votre avatar

C’est d’une tristesse affligeante la pauvreté des commentaires sur cette news. Ça confond vie privée et anonymat, ça se permet de juger  un développeur avec un gros background en cryptographie en plein en train de faire un doctorat dans le domaine d’ailleurs, en quoi le fait d’être une personnalité publique empêcherait-il de développer un bon logiciel de chat sécurisé ? … etc



des geeks qui pètent plus haut que leur cul quoi

votre avatar

les autorisations sont toutes détaillées sur le site d’OpenWhisper.

effectivement chacun ses besoins, mais je n’ai pas “moins” de sensibilité.

c’est juste que c’est la seule appli ouverte qui utilise un protocole reconnu et robuste, qui permette des conversations de groupe et de la voix, et qui casse pas les couilles des utilisateurs avec une interface cryptique ou qui demande une configuration de nerd: c’est juste super simple et user-friendly.



par ailleurs tu parles de Slack, sans doute dans une toute autre optique puisque niveau sécu à priori c’est absolument pas l’objectif… ^^

votre avatar







hellmut a écrit :



par ailleurs tu parles de Slack, sans doute dans une toute autre optique puisque niveau sécu à priori c’est absolument pas l’objectif… ^^






   Tout à fait !        


  Et aussi c'est à la base un "groupware", pas une truc pour converser 1-1 ou en petit groupe.        


  Aussi la conversation voix arrive, et qui peut le plus peut le moins, c'est à dire si tu peux travailler en groupe, a fortiori tu peux le faire à 1-1 ou petit groupe.       







  Cependant, niveau "privacy", pour l'instant Slack est la seule app mobile qui ne demande pas ton tél. Les autorisations demandées sont "raisonnables", rien à voir avec le truc d'OpenWhisper qui demande une liste longue comme les deux bras.        







  Pour ce qui est de la sécurité, on ne sait effectivement pas ce que fait Slack de nos données... mais s'ils veulent des clients payants, ils ont sans doute intérêt à ne pas être trop "evil" (comme dit Google).        







  Et si la sécurité est le but, le mieux est alors de prendre des clones  Open Source et auto-hébergeable de Slack : mattermost ou rocket.chat        







  Bref, pour l'instant mon choix est fait : Slack (je m'en fiche qu'ils sachent ce que je dis puisqu'on peut s'inscrire avec Yopmail et y accéder via tor, si on veut)... sauf s'ils se font racheter par M$ (cf autre article récent !)

votre avatar

mouais.

donc en gros il va nous pondre un sous-Signal alors que Signal pour desktop est déjà en beta depuis quelques mois (et ça fonctionne nickel), un truc desktop-only en plus…

quel intérêt?

aujourd’hui si t’as pas un truc multi-plateformes, ça sert à rien. d’ailleurs pour ça que Signal sort une version desktop.



sans compter que là encore, il est tout seul à bosser dessus.

d’un autre côté, c’est pas réellement étonnant vu comment il traite les autres comme de la merde sur twitter… <img data-src=" />

votre avatar



La meilleure solution était donc de le couper. Le site est désormais https://crypto.cat/+&cd=1&hl=fr&ct=clnk&gl=fr” target=”_blank” rel=“nofollow”>hors-ligne.





Ou le passer open source ! Là c’est plutôt radical comme solution&nbsp;<img data-src=" />

votre avatar

ben il était déjà open source puisqu’il y a un fork…

toi t’as pas lu la news en entier! <img data-src=" />

votre avatar

Mouais…. L’intérêt de Cryptocat c’était justement d’être une simple extension… Sinon j’utilise déjà Tox, donc je ne pense pas que je migrerais vers cette solution… Wait & see comme on dit.

votre avatar

C’est fini de de la “Crypte aux chats”, j’aimai bien, je l’utilisais il y’a quelques années. Maintenant, le gars il a d’autres chats à fouetter, je ne crois pas trop à un retour : parce qu’il y a maintenant plein d’autres solutions, et que c’est chronophage et pas très valorisant in fine ce type de projet.



Merci à lui en tout cas :)

votre avatar

Cryptocat était déjà une des seules messagerie sécurisée fiable. oui il y en a plein d’autres, comme Tox notamment cité au dessus par @Ricard mais ces logiciels n’ont jamais été audités et surtout on ne sait foutrement rien des développeurs …



Donc perso, je vais surement continuer à utiliser Cryptocat à l’avenir surtout que la mise en place d’une liste de contacts est un vrai plus pour l’utilisabilité !

votre avatar







Glyphe a écrit :



Cryptocat était déjà une des seules messagerie sécurisée fiable. oui il y en a plein d’autres, comme Tox notamment cité au dessus par @Ricard mais ces logiciels n’ont jamais été audités et surtout on ne sait foutrement rien des développeurs …



Donc perso, je vais surement continuer à utiliser Cryptocat à l’avenir surtout que la mise en place d’une liste de contacts est un vrai plus pour l’utilisabilité !





franchement autant utiliser Signal. c’est la même chose sauf qu’il y a déjà plein de monde dessus, et y’a des applis iOS et Android. c’est totalement open-source, bien évidemment, et les devs sont connus.

d’ailleurs le dev de l’appli iOS vient juste d’être embauché chez… Apple dans le team sécurité. ^^


votre avatar

Telegram?

votre avatar







Glyphe a écrit :



Cryptocat était déjà une des seules messagerie sécurisée fiable. oui il y en a plein d’autres, comme Tox notamment cité au dessus par @Ricard mais ces logiciels n’ont jamais été audités et surtout on ne sait foutrement rien des développeurs …





Pour une application destinée à la vie privée, je préfère encore un développeur qui comprenne ce qu’est la vie privée et évite de raconter sa vie partout.

Un gars qui n’a “rien à cacher” peut difficilement comprendre ceux qui ont des choses à cacher.



Tout ce qui compte dans une application de sécurité ou de confidentialité, c’est le code source. Certainement pas l’âge et les mensurations du développeur.


votre avatar

Tout à fait !



Et d’ailleurs je suis super déçu de Signal qui est pourtant tellement citée comme exemplaire plus haut. Elle demande une liste d’autorisation longue comme le bras, et elle a besoin d’un numéro de téléphone qu’elle vérifie en capturant les SMS.



Super pour un truc anonyme et respectant la vie privée, ça commence fort !..



Allez, poubelle comme les autres. Décidément je n’ai pas encore trouvé d’app de messagerie qui ne demande PAS de numéro de téléphone, à part bien sûr appear.in, mais c’est plutôt un site web (WebRTC) qu’une véritable app. Tiens, je vais peut-être leur suggérer une app du coup.

votre avatar

J’avais bien vu ça, mais alors pourquoi parler de “fermeture comme meilleure solution” ?

votre avatar

Ils sont rigolos les gens à dire du mal de cette application sans avoir le fin mot de l’histoire, si je ne me trompe pas, et j’éspère que ce n’est pas le cas, il s’agit bêtement d’un client xmpp orienté sur le chiffrement.



Si c’est le cas, alors leur critiques, proposant des solutions encore moins standardisé, voir même pas ouverte, sont juste à côté de la plaque.



Si ce n’est pas le cas, ce qui me décevrais beaucoup de ce développeur, alors c’est effectivement une énieme application de messagerie inutile qui parle dans son coin.



Pendant ce temps là xmpp continu son petit bout de chemin :https://conversations.im/omemo/

votre avatar

découvert récemment

&nbsphttps://www.goldenfrog.com/FR/cyphr ??? des avis

votre avatar







Bylon a écrit :



Tout à fait !



Et d’ailleurs je suis super déçu de Signal qui est pourtant tellement citée comme exemplaire plus haut. Elle demande une liste d’autorisation longue comme le bras, et elle a besoin d’un numéro de téléphone qu’elle vérifie en capturant les SMS.



Super pour un truc anonyme et respectant la vie privée, ça commence fort !..



Allez, poubelle comme les autres. Décidément je n’ai pas encore trouvé d’app de messagerie qui ne demande PAS de numéro de téléphone, à part bien sûr appear.in, mais c’est plutôt un site web (WebRTC) qu’une véritable app. Tiens, je vais peut-être leur suggérer une app du coup.





Du même avis, j’ai voulu tester Signal et la nécessité de spécifier un numéro de téléphone m’a un peu refroidi.


votre avatar

J’utilise Conversations comme client chat sur mon téléphone.



Par contre, je l’ai pris sur F-Droid et non sur le store Google car payant sur le store google et non sur F-Droid (comme beaucoup d’app de f-droid en fait).



J’utilise SMSSecure et non la version de Open Whisper car elle passe par le forfait Data et non par le forfait SMS au prix du fait de ne pouvoir chiffrer les matadatas (vu que c’est par sms).



Bon et bien sur, dans la logique, j’utilise le client mail K9-Mail pour les mails avec chiffrement PGP, Tinfoil for twitter pour avoir une navigation sandboxé dans la version mobile de Twitter, etc …

votre avatar

tout con: le but c’est de pouvoir aussi envoyer des SMS.

résultat j’ai la même appli pour les SMS, la voix et les message chiffrés, et je me pose pas la question de savoir si le mec en face a l’appli ou pas, c’est complètement transparent.

résultat j’ai réussi à la faire adopter à quelques personnes, chose que j’aurais jamais réussi à faire avec des trucs comme tox ou cryptocat, qui sont des trucs de gros crypto-nerds.



maintenant si t’as des questionnements concernant le fonctionnement de l’appli, et des doutes concernant le protocole ou l’implémentation de la solution, toutes les réponses sont sur le site d’openwhisper, et le code est totalement ouvert.



concernant les développeurs, ben c’est quand même pas mal de savoir qui développe le truc sur lequel tu bases ta vie privée, rien que pour savoir la vision qu’ils ont des choses et s’ils savent faire de la crypto?

parce que pondre une appli c’est à la portée du premier mickey venu. avoir une bonne implémentation de la crypto, ou carrément développer un nouveau protocole, c’est une autre histoire.



je dis pas que c’est la panacée hein, je dis juste qu’y a quand même un paquet de mecs qui savent de quoi ils parlent, qui disent que Signal est la meilleure appli et le meilleur protocole existant. A commencer par Snowden.

Cryptocat ferme ses portes, la nouvelle version se prépare

  • Une nouvelle version prévue dans l'année

  • Un changement de cap pour le projet

  • Un fork disponible sur GitHub

Fermer