Secret, Hemlis : abandons en série pour les services de messagerie chiffrée
Des secrets qui le resteront
Le 04 mai 2015 à 07h00
11 min
Logiciel
Logiciel
La semaine dernière, l’application de messagerie anonyme Secret a officiellement jeté l’éponge, après 16 mois d’activité. Même destin pour Hemlis, l’application de chat chiffré de Peter Sunde, l’un des co-fondateurs de The Pirate Bay. La concurrence, elle, s’intensifie alors que la sécurité des échanges devient un argument de plus en plus flou.
La nouvelle est tombée il y a quelques jours, Secret abandonne la partie. Lancée en janvier 2014, l’application de messagerie anonyme a annoncé sa fermeture après à peine 16 mois d’activité. Dans la vague d’applications « sécurisées » arrivée ces dernières années, Secret se différenciait par l’absence de profils. Les messages anonymes étaient partagés avec les amis, sans qu’ils sachent qui était inscrit au service.
« Notre vision est de créer un monde plein d’authenticité » écrivait David Byttow, l’un des deux fondateurs. Dans les faits, le service a connu de nombreuses polémiques, après la bonne réception initiale. Les messages totalement anonymes ont plus laissé libre-cours au harcèlement en ligne, sans conséquences, qu’au déballage de sentiments sincères. Selon le New York Times, l’entreprise n’était pas prête à gérer le flot de messages négatifs.
En août, un juge brésilien a demandé à Apple et Google de supprimer l’application de leurs magasins et des terminaux des utilisateurs. Microsoft a lui été concerné pour un client tiers sur Windows Phone. Le harcèlement totalement anonyme par l’application est en cause, les plaintes devant être transmises en anglais, via le ministère des affaires étrangères. Plus généralement, la liberté d’expression au Brésil exclut l’anonymat.
Secret, redessiné puis abandonné
En décembre, l’application a été redessinée pour ressembler à un de ses concurrents directs, Yik Yak. La nouvelle version ajoutait le chat, l’envoi de messages sans être labellisé comme « ami » ou encore des recherches locales. Las, la manœuvre n’aura pas suffi à freiner le déclin de l’application, au contraire. L’abandon aurait même accéléré après le redesign, sonnant le glas du service. Le service dit avoir compté jusqu’à 15 millions d’utilisateurs, sûrement au plus haut de son usage.
Au total, Secret avait levé 35 millions de dollars en juillet, de la part de fonds d’investissement, de vedettes comme Ashton Kutcher ou de l’un des fondateurs de Reddit, Alexis Ohanian. Après le dernier tour de table, l’entreprise était valorisée 100 millions de dollars. Les deux fondateurs, David Byttow et Chrys Bader, auraient revendu une partie de leur part dans la société pour 6 millions de dollars, sans prévenir les employés.
Ces derniers l’ont appris l’été dernier, au cours d’une réunion lancée par les deux entrepreneurs. Le but de la manœuvre : rassurer les employés, échaudés par la nouvelle. Une partie a quitté l’entreprise depuis, pour des horizons meilleurs, y compris des piliers du développement des applications. David Byttow aurait prévenu les employés restants de la fermeture mardi, en leur fournissant leurs indemnités de départ, selon des sources internes interrogées par le New York Times. La nouvelle est d’abord sortie mardi 28 avril sur BuzzFeed, avant d’être confirmée le lendemain par Secret dans un billet de blog.
I've received emails from over 400 viable companies interested in our team. So grateful, thank you. We're going through each and every one.
— David Byttow (@davidbyttow) 30 Avril 2015
« Je crois en une communication honnête, ouverte et en une expression créative. L'anonymat est un excellent moyen de l'atteindre. Mais c'est aussi l'arme à double-tranchant ultime, qui doit être maniée avec le plus grand soin. J'ai hâte de voir ce que d'autres feront dans ce domaine » résume David Byttow dans son billet. L’entreprise sera fermée dans les prochaines semaines, les derniers employés étant « accompagnés » pour trouver un nouvel emploi. Le capital non-dépensé sera lui rendu aux investisseurs.
Hemlis, une messagerie privée qui ne verra jamais le jour
Un autre service a été stoppé net la semaine dernière : Hemlis (« Secret » en suédois), le projet de messagerie instantanée sécurisée par Peter Sunde, l’ancien porte-parole de The Pirate Bay. Comme une partie de ses concurrents, Hemlis a été lancé peu après les révélations d’Edward Snowden sur la surveillance d’Internet par la NSA, en juillet 2013. Le but était de fournir une messagerie chiffrée simple et esthétique, sur mobile. Un objectif simple, qui ne différencie que peu le produit des nombreux concurrents lancés à la même époque.
Pour se financer, l’équipe avait lancé une campagne de financement participatif, demandant 100 000 dollars aux futurs utilisateurs. L’objectif a été dépassé en moins de deux jours, en partie grâce à la réputation de Peter Sunde et ses projets réussis, comme The Pirate Bay ou Flattr. Une vidéo de démonstration de l’app est arrivée quelques semaines plus tard. Puis le projet a peu avancé. En deux ans, l’équipe a surtout produit des billets de blog et des vidéos, espacés de plusieurs mois, ainsi qu’une version bêta.
Le 22 avril, l’équipe a annoncé l’abandon du projet dans un billet de blog. « Les nouvelles messageries échouent misérablement. Pendant que nous travaillions sur Hemlis, de nouveaux et d'anciens services ont été lancés et mis à jour. Aucun n'a pu ne serait-ce que rayer la surface du marché, ils ont juste grossi » estime l'équipe dans son billet. L'argument d'une messagerie sécurisée et agréable s'avèrerait insuffisant. « Sortir quelque chose que trop peu de gens utiliseront, c'est créer un produit qui ne peut pas vivre sans capital externe. Ce n'est pas une voie que nous voulons prendre » conclut l'équipe du projet, annonçant l'abandon de la bêta.
We'll release the usable parts of the #hemlis code (after cleanup and such for higher useability). It could be used as a decent xmpp-client.
— Peter Sunde (@brokep) 22 Avril 2015
De son côté, Peter Sunde explique que l’équipe de trois personnes, avec plus de 130 000 dollars en poche (dont 30 000 dollars « volés » en Bitcoin) ne faisait pas le poids face à une concurrence rude et bien mieux financée. Tout l’argent a été dépensé, l’un des développeurs a eu un enfant et Sunde a dû purger une peine de prison pour son implication dans TPB. Ne voulant pas demander plus d’argent, l’équipe n’aurait eu qu’un choix, arrêter le projet. Ce qui est déjà produit sera fourni sous licence ouverte, promet-il.
Les services se multiplient, sans vrai vainqueur
Hemlis n’était finalement qu’une goutte d’eau dans la marée d’applications « sécurisées » qui a envahi Internet ces dernières années, entre autres motivées par les révélations Snowden. Bleep de BitTorrent, Cryptocat, Peerio, PostSecret, Signal, Telegram, Whisper ou Yik Yak sont quelques-uns des noms qui sont devenus familiers des utilisateurs souhaitant des communications vraiment privées. Le problème est qu’aucune n’a encore su s’imposer, chacune péchant d’une manière ou d’une autre.
Le cas le plus emblématique est celui de Telegram, qui propose une messagerie et un stockage cloud privés, en permettant de chiffrer les communications et de les auto-détruire. La promesse a attiré de nombreux utilisateurs, d’abord sur mobile, puis sur PC, jusqu’à atteindre 50 millions de membres actifs en décembre. La communauté cryptographique, elle, est sceptique.
Derrière la promesse, se cachent des failles et des choix de sécurité discutables, comme le fait de ne pas chiffrer les communications par défaut ou d’obliger la connexion simultanée des deux clients pour l’activer. Des changements « qui prennent au maximum un mois » nous expliquait Nadim Kobeissi, le concepteur de Cryptocat, derrière la cryptographie du service Peerio, à l’occasion de son portrait.
Une autre problématique est l’usage lui-même. Les ennuis de Secret autour du harcèlement et de la modération des messages sont aussi connus de services concurrents. C’est le cas par exemple de Yik Yak, que Secret a voulu imiter, et qui s'est volontairement bloqué dans l’enceinte des collèges et lycées américains, via du geo-fencing. L’app avait d’abord été interdite par certaines écoles et impliquée dans des enquêtes de police. Ce harcèlement est également une épine dans le pied pour ces startups qui veulent limiter les charges. Whisper, par exemple, sous-traite une partie de sa modération aux Philippines.
Entre des services qui veulent s’accaparer à tout prix les utilisateurs, la concurrence technique est un autre problème. La majorité de ces services développent leurs propres technologies, pas toujours open source, et qui peuvent se révéler être un problème à long terme pour ces entreprises. Certains, comme Peerio ou Signal (TextSecure et Redphone sur Android), sont fondés sur des bases techniques solides et ouvertes, mais cela reste encore très rare.
Une concurrence là où il faudrait l’attendre
En dehors du cercle des services « confidentiels », la sécurité est généralement la dernière des préoccupations. Le meilleur exemple est sûrement Yo, une application au succès fulgurant en juin dernier, qui permet d’inonder ses contacts de notifications comportant seulement le mot « Yo ». Rien de plus. Résultat : des failles importantes ont été très rapidement trouvées, révélant le numéro de téléphone des utilisateurs et permettant d’envoyer n’importe quel message texte au lieu du « Yo » prévu.
Face à de tels exemples, les services sécurisés ne semblent pas s’être méfiés des mastodontes de la messagerie sur mobile, comme Facebook, Hangouts, iMessage, Skype, Viber, WeChat ou WhatsApp. Pourtant, le danger pourrait bien venir de là. iMessage d’Apple chiffre par exemple l’ensemble des communications avec une clé détenue par le groupe californien. De son côté, le très populaire WhatsApp a intégré le moteur de chiffrement d’Open Whisper Systems, à l’origine de Signal, à ses applications. Cela sans parler de services désormais classiques, comme Snapchat et ses photos éphémères, qui insistent sur leur sécurité et leur transparence.
Avec un tel fonctionnement, ces entreprises fournissent un niveau minimum de sécurité en enlevant cette problématique de l’esprit de l’utilisateur, qui ne demande souvent pas mieux que de ne pas s’en soucier. Que la clé soit détenue par un tiers, au fond, importerait peu, tant que les communications sont chiffrées. Reste tout de même un manque global de transparence, que proposent certains services plus spécialisés, open source. C’est ce qui amène Nadim Kobeissi à arguer que WhatsApp n’est en fait pas sécurisé, car il n’apporte pas la garantie que les communications ne peuvent être interceptées.
La question reste toujours de savoir de qui ces services sont censés protéger. De parents indiscrets ? De camarades ou de collègues à qui on n’ose pas tout dire ? D’un gouvernement ? Elle se pose d’autant plus au moment où la NSA suggère aux entreprises de fournir des accès aux contenus des utilisateurs, libérés de tout chiffrement. Cela avec le risque que cet accès soit utilisé par un tiers sans que le service puisse l’empêcher. La centralisation de ces services est d’ailleurs un sujet important, au moment où Viber ou WhatsApp sont bloqués au Burundi parce qu’ils contribuent à l’organisation de manifestations contre le président. Une carte à jouer pour les services spécialisés, même si le chemin risque d’être encore très long.
Secret, Hemlis : abandons en série pour les services de messagerie chiffrée
-
Secret, redessiné puis abandonné
-
Hemlis, une messagerie privée qui ne verra jamais le jour
-
Les services se multiplient, sans vrai vainqueur
-
Une concurrence là où il faudrait l’attendre
Commentaires (15)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 04/05/2015 à 09h18
S’en moquent, ne savent pas, ou c’est trop compliqué, trop long…
Le 04/05/2015 à 09h45
Oui moi aussi je la trouve vraiment cool. Le problème c’est de réussir à motiver les gens à l’utiliser !
On est quelques potes à bien délirer dessus, les conversations de groupes sont bien foutues et le partage de photos, médias, ultra simples.
Le 04/05/2015 à 09h52
Secret n’a pas l’air d’être une grosse perte il avait un mauvais score sur
https://www.eff.org/secure-messaging-scorecard
et Hemlis n’était pas cité (trop récent?)
Le 04/05/2015 à 10h53
Le 04/05/2015 à 21h51
Dans mes souvenir textsecure est inclus dans CyanogenMod. Mais le problème reste le même, que les autres utilise le système.
Le 05/05/2015 à 09h31
Ca sent effectivement la belle arnaque. Les 2 patrons revendent des parts sans prévenir personne … pas cool pour les employés ! J’espère qu’ils retrouveront tous du boulot facilement.
Le 04/05/2015 à 07h38
“Les deux fondateurs, David Byttow et Chrys Bader, auraient revendu la société pour 6 millions de dollars, sans prévenir les employés”
“Je crois en une communication honnête, ouverte […] résume David Byttow dans son billet”
Ok, faites ce que je dis mais surtout pas ce que je fais …
Le 04/05/2015 à 07h41
Totalement sécurisé ou pas, Telegram est une messagerie au top, en gros c’est un whatapps avec un client windows/web ainsi qu’un véritable historique de vos messages (on peut faire une recherche dans mois/années en arrière).
Le 04/05/2015 à 07h47
plus de place pour les petits : vive les multinationales !
I like the firm, I LOve this company ! yeahhhh
Le 04/05/2015 à 07h49
Je viens de corriger une erreur dans l’article. Ils auraient “seulement” revendu une partie de leurs actions dans l’entreprise, ce qui est bien différent même si toujours inquiétant pour les employés.
Le 04/05/2015 à 07h55
Hé bé… Cela ne fait pas envie.
Entre les failles, le chiffrement pas au top (quand il y en a un), les systèmes détournés pour des utilisations indélicates et les projets qui capotent, c’est pas très reluisant…
Souhaitons qu’il y ait des systèmes qui émergent, sans avoir les tares énoncées ici, car je trouve le concept intéressant. A suivre quand même…
Le 04/05/2015 à 08h09
“Elle se pose d’autant plus au moment où la NSA suggère aux entreprises de fournir des accès aux contenus des utilisateurs, libérés de tout chiffrement. Cela avec le risque que cet accès soit utilisé par un tiers sans que le service puisse l’empêcher”
" /> " />
Vive la NSA, les gentils qui ne font que regarder tout ce que vous faites." />
Le 04/05/2015 à 08h22
Déjà si ça passe par le numéro de tel comme identifiant et tous les contacts sont directs des amis ça commence mal niveau sécurité et autres
Le 04/05/2015 à 09h04
Pendant que nous travaillions sur Hemlis, de nouveaux et d’anciens services ont été lancés et mis à jour. Aucun n’a pu ne serait-ce que rayer la surface du marché
Sortir quelque chose que trop peu de gens utiliseront, c’est créer un produit qui ne peut pas vivre sans capital externe
En plus du reste, tout est dit. Les gens ne veulent pas se compliquer la vie (sans compter le manque de culture numérique la plus basique), les michus s’entend. L’après Snowden n’a en rien fait prendre conscience à l’ensemble de la population, ou pire, ils s’en foutent.
Le 04/05/2015 à 09h15
Les michus s’en moquent : “Ils n’ont rien à cacher”, c’est bien connu.
Même réaction qu’avec le PJLRenseignement " />