Si la majeure partie des utilisateurs de messageries chiffrées ont tendance à se tourner vers les très célèbres et faciles d’utilisation Telegram et Whatsapp, des alternatives plus sécurisées encore existent. Dans la veine de Rocket.Chat, Hoop Messenger ou la version russe de Messenger, Tam Tam, BCM entend proposer un service de messagerie instantanée chiffrée de bout en bout couplé à une gestion des cryptomonnaies.
L’éditeur s’appuie en effet sur une technologie similaire à blockchain pour proposer un portefeuille de cryptocurrences. La communication avec un contact est possible en « talk to public key hash », très similaire au « pay to public key hash » de blockchain. Ce qui permet de réaliser des transactions monétaires aussi simplement que l'envoi d'un message. Mais contrairement à ce qui est annoncé partout, ce service de tchat ne s’appuie pas sur la blockchain pour sécuriser les échanges de messages. L’entreprise l’explique elle-même sur son site : « Comme chaque message est strictement chiffré, nous ne voyons pas de différence entre le stockage d'un message sur un serveur BCM et le stockage sur une blockchain, sans parler de l'efficacité de la blockchain. De plus, il est difficile de mettre à jour le logiciel dans chaque nœud de blockchain public lorsque cela est nécessaire ».
Chiffrement de bout en bout
Avec BCM (pour Because communication matters), chaque message et reçu subit un chiffrement de bout en bout, et aucune tierce partie ne peut décrypter le contenu du message. La méthode employée pour le processus de tchat privé utilise le X3DH basé sur la courbe elliptique-Curve25519 pour l'échange de clés de chiffrement, et met en œuvre le processus Double Ratchet pour s'assurer que la clé de chaque message est différente. Le contenu du tchat est chiffré par l'algorithme AES-256. Cette méthode garantit que le chiffrement est bien actif de bout en bout. Les nœuds tiers tels que les nœuds de transfert n'interviennent pas dans le chiffrement et le déchiffrement du contenu et n'ont pas la capacité de décrypter un contenu quelconque. Cette méthodologie assure aussi la conformité avec les caractéristiques de la sécurité de transfert parfaite (PFS) ; et, dans des cas extrêmement particuliers où la clé privée de l'utilisateur est exposée, le tiers ne peut toujours pas intercepter ni déchiffrer le contenu de la conversation. Le même processus est employé pour les chats de groupe jusqu'à 100 000 utilisateurs.
Des fonctionnalités basiques
Car il est possible de créer des « supergroupes » dans BCM pouvant accueillir chacun jusqu’à 100 000 personnes. Et comme tout messagerie, l’envoi de messages, photos, vidéos ou tous types de fichiers est disponible de manière strictement chiffrée évidemment. L’application est disponible gratuitement sous Android et bientôt iOS. Une fois l’application ouverte, il suffit de « Créer un compte », et cliquer sur « Stop » pour obtenir la clé de ce compte, qui sera votre certificat unique dans BCM. De plus, le code source de l’application Android a été diffusé sur GitHub en open source pour Noël. La version iOS ne devrait pas tarder.
Pour ajouter des amis il est demandé, comme souvent, de connecter son interface de contact ou bien de scanner le QR code du compte de la personne. Pour créer un groupe, un clic sur l'icône située dans le coin supérieur droit pour ouvrir la nouvelle interface de chat, puis sur « New Group Chat ». Les membres du groupe peuvent être aussi directement sélectionnables à partir de sa liste de contacts personnelle, ou en saisissant directement les numéros de téléphone. BCM propose enfin de sauvegarder ses données sur un autre appareil. En cliquant sur l'icône « … » sur la page d’accueil, dans « Sécurité du compte », s’affichera le QR code de votre compte. Sur un autre téléphone disposant de BCM, sur la même page, il sera ainsi possible de scanner le code pour faire une sauvegarde. Il s’agit pour le moment de la seule méthode disponible, mais l’entreprise indique que d’autres viendront.
Plus sécurisé que Telegram, plus confidentiel que WhatsApp...
Tout cela c’est très bien, mais en quoi BCM se différencie ? Car l’entreprise admet elle-même utiliser le même algorithme de chiffrement AES 256 bits que Telegram et le protocole Signal, qu’utilise aussi WhatsApp. BCM estime se différencier de Telegram selon trois points : d’une part, dans le fait que le nœud de transfert ne peut pas avoir accès à son contenu ; ensuite, dans Telegram, le chiffrement par défaut a lieu l'application et aux deux extrémités du serveur, ce qui signifie que ce dernier peut avoir accès au contenu non chiffré, contrairement à BCM ; et enfin, le chiffrement de bout en bout est actif pour le chat privé seulement après que le lancement du mode « Secret Chat » sur Telegram.
Côté WhatsApp, les technologies semblent vraiment très proches. Les deux prennent aussi en charge la Perfect Forward Security (PFS). Là où BCM dit se différencier, c’est dans le nombre de personnes pouvant faire partie d’un groupe : WhatsApp ne peut pas dépasser 256 par groupe quand BCM peut en supporter 100 000 par groupe. WhatsApp n'est aussi pas open source.
… une aubaine pour les terroristes
Mais là où les trois messageries se rapprochent, c’est dans leur popularité auprès des groupes terroristes. Daech était un fervent utilisateur de Telegram mais en novembre dernier, Europol et la plateforme ont lancé une opération de lutte contre la propagande en ligne et suspendu des centaines de groupes et des dizaines de milliers de comptes. Depuis, les membres de l’organisation terroriste se sont rabattus sur d’autres solutions, citées plus haut, avant de s’en faire chatier. BCM serait le dernier terrain de jeu investit par les terroristes pour leurs échanges. D’informations comme de capitaux puisque la plateforme propose son propre portefeuille de cryptomonnaies.