Jack Dorsey, cofondateur de Twitter, désormais X, avait de grandes ambitions avec BitChat, sa nouvelle application de messagerie censée révolutionner la communication hors ligne. Présentée comme un outil pour contourner les censures et pannes de réseau via Bluetooth, l’application est rapidement devenue un nid à problèmes de sécurité, soulevant des inquiétudes majeures chez les experts. Loin de la promesse d’une communication résiliente et privée, BitChat s’avère être une énième déconvenue pour l’entrepreneur.
Initialement, BitChat devait fonctionner sans Internet, créant un réseau temporaire entre smartphones grâce au Bluetooth. Chaque appareil devenant un relais, les messages chiffrés devaient circuler de proche en proche. Une interface minimaliste avec des identifiants aléatoires semblait prometteuse pour les zones blanches ou les situations d’urgence. Cependant, cette vision idyllique a vite rencontré la dure réalité. Les experts en cybersécurité ont rapidement mis en lumière des vulnérabilités alarmantes. Le système d’authentification des utilisateurs serait défaillant, permettant l’usurpation d’identité et la falsification de contacts de confiance.
Jack Dorsey lui-même a été contraint d’admettre la fragilité de son « projet de week-end », en ajoutant un avertissement sur GitHub : l’application « peut contenir des vulnérabilités et ne répond pas nécessairement à ses objectifs de sécurité déclarés ». Un aveu cinglant qui contraste avec les prétentions initiales de l’application à offrir une communication sécurisée et résistante à la censure. De plus, des versions contrefaites de BitChat ont envahi le Google Play Store, semant la confusion et exposant les utilisateurs à des risques supplémentaires.
Malgré l’intégration tardive du Noise Protocol Framework pour tenter de pallier les failles, le mal est fait. La précipitation dans le développement, notamment l’utilisation d’outils d’IA générative sans audit externe, a mené à une application bancale. Le cas de BitChat est un exemple frappant des dangers à commercialiser des outils censés garantir la sécurité sans validation rigoureuse, mettant potentiellement en péril la sûreté des utilisateurs qui prennent ces promesses au pied de la lettre.
