BitChat : la messagerie « sécurisée » de Jack Dorsey déjà sous le feu des failles

Présentée comme un rempart contre la surveillance, BitChat expose pourtant ses utilisateurs à un traçage inquiétant via Bluetooth. Un revers embarrassant pour une app axée sur la confidentialité.

BitChat : une promesse de confidentialité déjà fragilisée

À peine lancée, l’application de messagerie décentralisée BitChat, portée par Jack Dorsey, fait face à une série d’alertes concernant la protection des données de ses utilisateurs. Des chercheurs en cybersécurité de chez Tenable, spécialiste reconnu dans l’analyse des vulnérabilités numériques, ont révélé qu’un identifiant pérenne et accessible permettrait à toute personne malveillante, se trouvant dans la portée du Bluetooth (jusqu’à environ 300 mètres), de suivre la présence et les déplacements d’utilisateurs à proximité.

Un identifiant unique qui compromet la vie privée

L’analyse menée par l’équipe de Tenable met en évidence un point faible au cœur même du fonctionnement de BitChat. L’application s’appuie sur une clé publique statique, utilisée comme identifiant unique pour chaque appareil. Ce choix technique, sans chiffrement dynamique, ouvre ainsi la porte à une surveillance ciblée – le tout alors que BitChat vante sa capacité à contourner la censure ou la surveillance dans des contextes sensibles, comme les manifestations.

Sécurité : un chantier négligé dès le départ ?

Il est assez rare qu’une application axée sur la confidentialité reconnaisse publiquement ses lacunes en matière d’audit. Pourtant, c’est ce qu’a fait Jack Dorsey, admettant que BitChat n’a subi aucun test ni évaluation indépendante en sécurité. Un constat préoccupant alors que plusieurs failles – dont celle récemment documentée – ont déjà été signalées depuis le lancement officiel. Cela soulève un paradoxe : comment garantir la protection des utilisateurs exposés si les fondations techniques restent aussi fragiles ?

Vers une nouvelle culture du « secure by design » ?

L’urgence d’intégrer des méthodes de développement sécure dès la conception s’impose, notamment quand des personnalités publiques promeuvent massivement ce type d’application. On ne peut ignorer l’importance croissante des outils dopés à l’IA pour détecter ces faiblesses dès les premières lignes de code. En attendant des correctifs fiables et des audits rigoureux, il demeure essentiel que les profils les plus vulnérables – souvent peu familiers avec les subtilités techniques – restent particulièrement prudents face à ces nouvelles solutions numériques.

Pour ceux qui souhaiteraient aller plus loin sur ces questions ou échanger avec les experts impliqués dans cette découverte, il reste possible d’obtenir un contact direct auprès des chercheurs de chez Tenable.