Bridgefy est une société de logiciels mexicaine avec des bureaux au Mexique[1] et en Californie, aux États-Unis, dédiée au développement de technologies de réseau maillé pour les applications mobiles. Elle a été fondée vers 2014 par Jorge Rios, Roberto Betancourt et Diego Garcia qui ont eu l'idée alors qu'ils participaient à un concours technologique appelé StartupBus (en)[2]. La technologie de réseau ad hoc pour smartphone (en) de Bridgefy, utilisant apparemment Bluetooth Mesh (en), est concédée sous licence à d'autres applications[3],[4],[5].

Bridgefy
Format
Date de création
Site web

Popularité

modifier

Bridgety a gagné en popularité lors des manifestations dans différents pays car elle peut fonctionner sans Internet, en utilisant Bluetooth à la place. Conscient des problèmes de sécurité liés à la non-utilisation de la cryptographie et des critiques qui l'entourent[6], Bridgefy a annoncé fin octobre 2020 avoir adopté le protocole Signal, à la fois dans son application et dans son SDK, pour préserver la confidentialité des informations[7], bien que les chercheurs en sécurité aient démontré que l'utilisation du protocole Signal par Bridgefy n'est pas sécurisée[8].

L'application a gagné en popularité en tant que tactique de communication (en) lors des manifestations de Hong Kong de 2019-2020 et des manifestations contre la loi sur la modification de la citoyenneté en Inde[9], car elle oblige les personnes qui souhaitent intercepter le message à être physiquement proches en raison de la portée limitée de Bluetooth et de la possibilité de connecter des appareils en guirlande pour envoyer des messages au-delà de la portée de Bluetooth[10],[11],[12],[13].

Sécurité

modifier

En août 2020, des chercheurs ont publié un article décrivant de nombreuses attaques contre l'application, qui permettent de désanonymiser les utilisateurs, de construire des graphiques sociaux des interactions des utilisateurs (à la fois en temps réel et après coup), de décrypter et de lire des messages directs, d'usurper l'identité des utilisateurs auprès de n'importe qui d'autre sur le réseau, de fermer complètement le réseau, d'effectuer des attaques actives de type man-in-the-middle pour lire les messages et même les modifier[6].

En réponse à ces révélations, les développeurs ont reconnu qu'« aucune partie de l'application Bridgefy n'est désormais cryptée » et ont fait une vague promesse de publier une nouvelle version « cryptée avec les meilleurs protocoles de sécurité »[14]. Les développeurs ont ensuite déclaré qu'ils prévoyaient de passer au protocole Signal, qui est largement reconnu par les cryptographes et utilisé par Signal et WhatsApp[6]. Le protocole Signal a été intégré à l'application Bridgefy et au SDK fin octobre 2020, les développeurs affirmant avoir inclus des améliorations telles que l'impossibilité pour une tierce personne de se faire passer pour un autre utilisateur, les attaques de type « man-in-the-middle » effectuées en modifiant les clés stockées et le suivi de proximité historique, entre autres[7].

Cependant, en 2022, les mêmes chercheurs en sécurité, dont Kenny Paterson (en), ont publié un article décrivant comment l'utilisation du protocole Signal par Bridgefy était incorrecte, ne parvenant pas à remédier aux problèmes précédemment découverts[15]. Les chercheurs ont réalisé une démonstration montrant qu'il était possible pour les utilisateurs d'intercepter des messages destinés à d'autres sans que l'expéditeur ne s'en aperçoive[16]. Les chercheurs ont révélé les vulnérabilités aux développeurs de Bridgefy en août 2021, mais, selon les chercheurs, les développeurs n'avaient pas encore résolu les problèmes en juin 2022[8].

Le 31 juillet 2023, la société de sécurité 7asecurity a publié un article de blog et un rapport de pentest d'un test de pénétration en boîte blanche et d'un examen global de la sécurité de l'application Bridgefy en collaboration avec les développeurs de la plateforme. Leur examen, qui a débuté en novembre 2022 et s’est terminé en mai 2023, a identifié plusieurs vulnérabilités critiques dans l’ensemble de l’application. De nombreux problèmes ont été résolus, ou partiellement résolus, avant la fin de l’audit, notamment l’usurpation d’identité des utilisateurs et le contournement biométrique. Bridgefy a également publié un article de blog le 8 août 2023 annonçant les résultats de l'audit.

Voir aussi

modifier
  • Signal protocol, que les développeurs ont utilisé pour corriger les problèmes de sécurité.
  • Briar, une autre application de communication pouvant utiliser Bluetooth

Références

modifier
  1. « Mexican-based startup. »
  2. (es) Franck Velázquez, « Bridgefy, la startup mexicana que te dejará pedir un Uber o recibir una alerta sísmica sin internet », Entrepreneur,‎ (lire en ligne [archive du ], consulté le )
  3. (en) Silva, « Hong Kong protestors revive mesh networks to preempt internet shutdown » [archive du ], Quartz, (consulté le )
  4. (en) « Hong Kong Protestors Are Using An App That Doesn't Need Internet, And Bypass Chinese Snooping », The Times of India,‎ (lire en ligne [archive du ], consulté le )
  5. (en-US) Thompson, « Hong Kong protestors using mesh-networking messaging app to evade authorities » [archive du ], Boing Boing, (consulté le )
  6. a b et c (en-US) Goodin, « Bridgefy, the messenger promoted for mass protests, is a privacy disaster », Ars Technica, (consulté le )
  7. a et b (en-US) « Press Release – Major Security Updates at Bridgefy! » [archive du ], Bridgefy (consulté le )
  8. a et b Eikenberg, « Breaking Bridgefy, again », GitHub (consulté le )
  9. (en) Nandi, « Bridgefy: An offline messaging app suddenly gaining traction in India », livemint.com, (consulté le )
  10. (en-US) « Hong Kong protesters using Bridgefy to stop China monitoring actions » [archive du ], News | The CEO Magazine, (consulté le )
  11. (en) Jowitt, « Bridgefy Grows Amid Hong Kong Protests | Silicon UK Tech News » [archive du ], Silicon UK, (consulté le )
  12. (en-GB) Jane Wakefield, « Hong Kong protesters using Bluetooth app », BBC,‎ (lire en ligne [archive du ], consulté le )
  13. (en) « Hong Kong: Protesters using offline app Bridgefy to avoid being identified » [archive du ], Sky News (consulté le )
  14. (en) « Bridgefly: No part of the Bridgefy app is encrypted now. » [archive du ], Twitter (consulté le )
  15. Albrecht, Eikenberg et Paterson, « Breaking Bridgefy, again », USENIX Security, no 22,‎ (ISBN 9781939133311, lire en ligne, consulté le )
  16. Eikenberg, « Breaking Bridgefy again attack demo », Twitter (consulté le )

Liens externes

modifier