Keybase vient d'annoncer le lancement de sa messagerie sécurisée gratuite, sobrement nommée Keybase Chat. Le créateur de l'application open source a précisé que pour l'utiliser, seul un pseudonyme public suffit.

Plus besoin d’une adresse e-mail, d’un numéro de téléphone ou même d’une clé pour envoyer des messages chiffrés : voici la promesse que veut garantir Keybase avec son arrivée dans l’univers des messageries sécurisées gratuites. L’application open source sécurisée, qui permettait déjà de partager des données sans un logiciel tiers, vient de lancer le 2 février sa messagerie chiffrée intitulée Keybase Chat.

Sur Signal, Slack, WhatsApp (qui vient de renforcer sa sécurité) ou bien iMessage, il est toujours nécessaire de recourir à un e-mail ou un numéro de téléphone. Keybase Chat propose de changer cela, en permettant à ses utilisateurs d’envoyer des messages chiffrés à des personnes dont on ne connaît que le pseudonyme public. Ainsi, l’application donne la possibilité de contacter et d’envoyer des contenus à des destinataires uniquement rencontrés via Internet, tout en assurant une sécurisation du message qui n’est plus aujourd’hui seulement exigée par les experts de la tech.

Un pseudo Reddit, Twitter ou Hacker News suffit

Seul un identifiant Twitter, Reddit ou Hacker News (site de partage social de liens autour des nouvelles technologies, du hacking et des startups) est nécessaire pour joindre une personne, même si cette dernière n’a pas encore installé Keybase Chat. Par exemple, admettons que la rédaction de Numerama cherche à joindre Chris Coyne, le co-fondateur de Keybase. Nous pourrions récupérer son pseudonyme sur Hacker News, l’entrer dans l’application de messagerie Keybase, et lui laisser notre message.

Keybase chat

Si Chris Coyne n’était pas déjà inscrit sur Keybase, et qu’il décidait de le faire à la suite de notre message (par exemple, pour nous répondre), l’application ferait une deuxième vérification lors de son inscription.  Sachez d’ailleurs que dans le cas où vous utiliseriez plusieurs identifiants pour contacter une personne, Keybase les regrouperait en un seul profil, associant une clé privée à chacun des pseudonymes.

« Si vous laissez un message à des personnes sur Keybase, et qu’ils s’y inscrivent après, votre ordinateur ou votre téléphone va chiffrer à nouveau le message pour eux, en fonction de leur clé affichée sur Reddit (ou n’importe quel autre service par lequel vous les avez contactés). À partir du moment où l’application Keybase vérifie la procédure pour vous, ce n’est plus TOFU, Trust on first use (ndlr : quand la sécurisation doit passer par l’établissement d’une relation de confiance) comme sur la plupart des autres messageries », précise Chris Coyne.

Le seul défaut rencontré à l’usage, c’est qu’il faut que la personne sache qu’on lui a laisse un message sur Keybase. Nous avons laissé un message au compte Twitter de Corentin avec le compte Keybase de Julien et Corentin n’a aucun moyen de savoir qu’il a reçu un message. S’il le sait (parce qu’on l’a contacté autrement, en public sur Twitter par exemple) il devra associer son compte Keybase à son compte Twitter en publiant un tweet de vérification.

De même, l’application étant ouverte uniquement sur invitation pour l’instant, il ne faut pas être pressé. Le principal intérêt, c’est donc de pouvoir envoyer un message chiffré à n’importe qui, sans connaître son mail, son numéro de téléphone ou une clef publique — en espérant qu’il puisse le lire un jour.

Pour l’instant, l’application permet d’envoyer des messages de 4 000 signes avec des pièces jointes. Keybase garantit également la confidentialité persistante (forward secrecy), c’est-à-dire que lorsqu’une personne découvre la clé privée d’un utilisateur, cela ne compromet pas la confidentialité des communications passées. Chris Coyne promet déjà de nouvelles fonctionnalités de blocage pour la prochaine version.

Partager sur les réseaux sociaux