Alors que l'auteur de Cryptocat a voulu enterrer la première version de sa messagerie sécurisée, en attendant la nouvelle sur laquelle il travaille, un développeur s'est ré-approprié le code source pour lancer Cryptodog. Mais pour mieux le condamner et conseiller des alternatives.

Mardi, nous rapportions que le service de messagerie sécurisée Cryptocat avait décidé de fermer ses portes provisoirement, en attendant la sortie d’une nouvelle version entièrement réécrite, prévue cette année. Tout en affirmant qu’il « n’y a rien de particulièrement mauvais avec le logiciel lui-même », son auteur Nadim Kobeissi estimait que le code de Cryptocat qu’il avait écrit en 2012 était trop vieux, et qu’il voulait profiter de ses travaux en cryptologie au sein de l’INRIA pour proposer un tout nouveau Cryptocat, exclusivement sur ordinateurs.

Nous ajoutions en conclusion que le code source de Cryptocat, autrefois disponible sur Github, avait été supprimé. Comme pour bien marquer la volonté de Kobeissi de mettre un terme à ce vieux Cryptocat, en attendant le nouveau.

Mais Internet étant ce qu’il est, sa volonté est vaine. Un développeur canadien, MullacGeek, a mis en ligne sur Github un fork de Cryptocat, savamment intitulé Cryptodog. Il le fait uniquement pour le principe puisque très clairement, MullacGeek n’en conseille pas du tout l’utilisation.

Deux messageries chiffrées conseillées

cryptodog

« Jusqu’à sa mort en février 2016, Cryptocat (la première incarnation) avait souffert de nombreuses failles de sécurité documentées. Certaines n’étaient pas loin d’être fatales », écrit-il, sans doute pour ajouter ses propres explications à la décision de Nadim Kobeissi, qui devient on ne peut plus compréhensible.

Contrairement à l’ambition d’un fork classique, Cryptodog ne corrige pas les failles de Cryptocat, et ne cherche même pas à le faire. « Les protocoles cryptographiques sous-jacents sont identiques, et l’implémentation n’a changé en aucune manière », prévient l’auteur, qui dit même que tout ajout de fonctionnalités rendrait Cryptodog plus vulnérable encore.

L’intérêt principal du fork ? Conserver malgré tout une copie du code source, pour le principe de l’open-source, et surtout conseiller deux alternatives : Signal et Ricochet, mises en avant par MullacGeek.

«  Le terme qui décrirait le mieux Cryptodog , c’est que c’est un jouet. Il n’est pas sécurisé dans le sens propre du terme, et il ne ne le sera probablement jamais. (…) Si vous acceptez ces faits, et tout ce que ça implique, utilisez Cryptodog. N’espérez simplement pas que ça vous protège ».

Partager sur les réseaux sociaux

Articles liés