GuiGui's Show

« Je vous ai déjà parlé de Nadim Kobeissi chercheur en sécurité et auteur de Cryptocat, MiniLock et Peerio. Je vous ai d'ailleurs déjà présenté Peerio, un outil de messagerie et de stockage chiffré de bout en bout et open source.

C'était du lourd et du sérieux, Nadim Kobeissi y apportant toute sa crédibilité en tant que cofondateur. Mais dans une série de tweets postés hier, Nadim explique pourquoi il quitte la société Peerio et vous allez voir c'est pas joli joli.

[...]

Pourquoi l'empêcher de s'exprimer ? Et bien il semblerait que les mecs à la direction de Peerio aient prévu comme business model d'intégrer une backdoor (porte dérobée) dans les versions privées vendues aux entreprises (sur demande de celles-ci évidemment). C'est moche comme état d'esprit, surtout pour une boite qui base sa réussite sur la confiance que les utilisateurs lui accordent...

C'est à ce moment-là que Nadim Kobeissi a décidé de dire stop et d'expliquer tout cela publiquement, prenant le risque d'être poursuivi au tribunal. »

C'était open-source, c'était du chiffrement de bout en bout mais ce n'était pas décentralisé. La communication est établie uniquement si une société commerciale le permet et le veut. Cette société commerciale connaît forcément le graphe social (qui parle à qui, à quels moments, selon quelle fréquence) pour router les communications. Ce n'était pas assez communautaire / audité par la communauté pour que l'envie de mettre des backdoors ne puisse se concrétiser par peur de perte de réputation & co.

Moralité : il faut faire attention à tous les systèmes de communication sécurisés qui fleurissent ces dernières temps comme SMSSecure, TextSecure puis Signal, Telegram,... et tant d'autres... Un système fleurit chaque semaine puis change de nom / fonctionnalités la semaine suivante. Tou-te-s les business-wo-man sont sur la brèche. Difficile de faire le tri. La sécurité dans l'urgence, ça ne marche pas. Il faut laisser le temps de comprendre les mécanismes sous-jacents et d'auditer quand c'est possible (si c'est pas possible, alors le système doit aller directement à la poubelle car il ne peut apporter aucune sécurité, il s'agit de confiance aveugle envers l'éditeur de ce système). Bref, ne foncez pas, prenez le temps d'analyser. Vouloir protéger sa vie privée, c'est génial mais si c'est pour se jeter dans la gueule du premier loup venu, c'est pas glop.