Faire preuve de prudence. Voilà les mots clefs des manifestants à Hong Kong qui ont adopté en masse l’application de messagerie Bridgefy, craignant des mesures répressives de la part des autorités contre internet.

Comme l’a expliqué Forbes en début de semaine, l’application a vu son nombre de téléchargements monter en flèche ces derniers temps du fait de la crise politique qui secoue la ville. L’application de messagerie semble même avoir remplacé Firechat, son équivalent qui était devenu très populaire pendant les manifestations prodémocratiques de 2014. Le principe est le même : l’application fonctionne avec un réseau maillé, également appelé « mesh ». Cela signifie que les smartphones utilisent des connexions Bluetooth à courte portée afin de créer leur propre réseau indépendant des antennes de relais et d’internet.


Il est donc difficile pour les autorités à Hong Kong ou en Chine de bloquer l’application, car sa nature même implique de multiples voies de communication, les messages pouvant être transmis à travers n’importe quel appareil du réseau. Il n’existe aucune défaillance que la police pourrait viser pour faire fermer Bridgefy.

 

Les risques de Bridgefy
 

Cela ne veut pas dire qu’il n’existe aucun moyen pour la police d’attaquer Bridgefy. Elle pourrait par exemple se créer un compte sur l’application et créer de la confusion en diffusant de faux messages, qui pourraient suggérer aux manifestants de se réunir à un endroit précis où les forces de l’ordre les attendraient. Ils pourraient également créer la panique sur l’application en racontant que les autorités ont violemment réprimé les manifestations à certains endroits dans Hong Kong.

Matthew Green, maître de conférence au Johns Hopkins Information Security Institute, a téléchargé l’application pour en vérifier la sécurité. Il a déclaré à Forbes que le principal problème avec Bridgefy était la confidentialité et l’authenticité des messages envoyés au travers des téléphones de tierces personnes inconnues. Comment les utilisateurs peuvent-ils être sûrs de l’identité de la personne avec qui ils communiquent ? « En théorie, les messages pourraient être cryptés, mais cela nécessite une gestion des clefs. Je ne sais pas comment Bridgefy peut être sécurisé alors que leurs serveurs ne sont pas connectés au réseau ».

Un porte-parole de Bridgefy a expliqué à Forbes que l’application utilise du cryptage : « Nous utilisons un chiffrement RSA sur la messagerie directe et maillée [Le RSA est un algorithme de cryptographie asymétrique, très utilisé dans le commerce électronique]. Les messages diffusés ne sont volontairement pas cryptés, afin que tout le monde puisse les lire ».

Mais le porte-parole admet néanmoins que l’application n’est pas à l’abri de certaines formes d’espionnage. Il note : « Il n’y a pas grand-chose que nous pouvons faire concernant la surveillance et la censure, à part crypter tout ce que nous pouvons crypter. Pour toutes les applications, hors-ligne ou en ligne, il y aura toujours des risques qui ne sont pas contrôlables par les développeurs ». Dans les conditions générales de Bridgefy, on peut lire : « Aucune mesure de sécurité n’est fiable à 100 % et votre contenu est susceptible d’être intercepté par des tiers non affiliés à Bridgefy ».

Matthew Green relève également les risques concernant la récupération des métadonnées, en particulier si la police utilise l’application. Les métadonnées peuvent inclure l’identifiant du téléphone mobile d’un utilisateur de Bridgefy, qui peut par la suite être utilisé pour trouver l’identité du propriétaire de l’appareil ».

Le gouvernement pourrait également répandre des programmes malveillants sur l’application. Au vu des révélations récentes sur les opérations de piratage sophistiquées visant des appareils Android, Windows et des iPhone, il est clair que tout groupe identifié comme dissident par le gouvernement chinois fait face à de graves menaces à sa cybersécurité. 

Si Bridgefy est prêt à prendre le risque, il pourrait s’imposer comme un outil de communication et d’organisation dans des situations extrêmes.