Bridgefy

Format	Application
Date de création	2016
Site web	www.bridgefy.me

Si ce bandeau n'est plus pertinent, retirez-le. Cliquez ici pour en savoir plus.

Cet article est orphelin. Moins de trois articles lui sont liés (août 2024).

Vous pouvez aider en ajoutant des liens vers [[Bridgefy]] dans les articles relatifs au sujet.

Bridgefy est une société de logiciels mexicaine avec des bureaux au Mexique^[1] et en Californie, aux États-Unis, dédiée au développement de technologies de réseau maillé pour les applications mobiles. Elle a été fondée vers 2014 par Jorge Rios, Roberto Betancourt et Diego Garcia qui ont eu l'idée alors qu'ils participaient à un concours technologique appelé StartupBus (en)^[2]. La technologie de réseau ad hoc pour smartphone (en) de Bridgefy, utilisant apparemment Bluetooth Mesh (en), est concédée sous licence à d'autres applications^[3]^,^[4]^,^[5].

Popularité

Bridgety a gagné en popularité lors des manifestations dans différents pays car elle peut fonctionner sans Internet, en utilisant Bluetooth à la place. Conscient des problèmes de sécurité liés à la non-utilisation de la cryptographie et des critiques qui l'entourent^[6], Bridgefy a annoncé fin octobre 2020 avoir adopté le protocole Signal, à la fois dans son application et dans son SDK, pour préserver la confidentialité des informations^[7], bien que les chercheurs en sécurité aient démontré que l'utilisation du protocole Signal par Bridgefy n'est pas sécurisée^[8].

Usage

L'application a gagné en popularité en tant que tactique de communication (en) lors des manifestations de Hong Kong de 2019-2020 et des manifestations contre la loi sur la modification de la citoyenneté en Inde^[9], car elle oblige les personnes qui souhaitent intercepter le message à être physiquement proches en raison de la portée limitée de Bluetooth et de la possibilité de connecter des appareils en guirlande pour envoyer des messages au-delà de la portée de Bluetooth^[10]^,^[11]^,^[12]^,^[13].

Sécurité

En août 2020, des chercheurs ont publié un article décrivant de nombreuses attaques contre l'application, qui permettent de désanonymiser les utilisateurs, de construire des graphiques sociaux des interactions des utilisateurs (à la fois en temps réel et après coup), de décrypter et de lire des messages directs, d'usurper l'identité des utilisateurs auprès de n'importe qui d'autre sur le réseau, de fermer complètement le réseau, d'effectuer des attaques actives de type man-in-the-middle pour lire les messages et même les modifier^[6].

En réponse à ces révélations, les développeurs ont reconnu qu'« aucune partie de l'application Bridgefy n'est désormais cryptée » et ont fait une vague promesse de publier une nouvelle version « cryptée avec les meilleurs protocoles de sécurité »^[14]. Les développeurs ont ensuite déclaré qu'ils prévoyaient de passer au protocole Signal, qui est largement reconnu par les cryptographes et utilisé par Signal et WhatsApp^[6]. Le protocole Signal a été intégré à l'application Bridgefy et au SDK fin octobre 2020, les développeurs affirmant avoir inclus des améliorations telles que l'impossibilité pour une tierce personne de se faire passer pour un autre utilisateur, les attaques de type « man-in-the-middle » effectuées en modifiant les clés stockées et le suivi de proximité historique, entre autres^[7].

Cependant, en 2022, les mêmes chercheurs en sécurité, dont Kenny Paterson (en), ont publié un article décrivant comment l'utilisation du protocole Signal par Bridgefy était incorrecte, ne parvenant pas à remédier aux problèmes précédemment découverts^[15]. Les chercheurs ont réalisé une démonstration montrant qu'il était possible pour les utilisateurs d'intercepter des messages destinés à d'autres sans que l'expéditeur ne s'en aperçoive^[16]. Les chercheurs ont révélé les vulnérabilités aux développeurs de Bridgefy en août 2021, mais, selon les chercheurs, les développeurs n'avaient pas encore résolu les problèmes en juin 2022^[8].

Le 31 juillet 2023, la société de sécurité 7asecurity a publié un article de blog et un rapport de pentest d'un test de pénétration en boîte blanche et d'un examen global de la sécurité de l'application Bridgefy en collaboration avec les développeurs de la plateforme. Leur examen, qui a débuté en novembre 2022 et s’est terminé en mai 2023, a identifié plusieurs vulnérabilités critiques dans l’ensemble de l’application. De nombreux problèmes ont été résolus, ou partiellement résolus, avant la fin de l’audit, notamment l’usurpation d’identité des utilisateurs et le contournement biométrique. Bridgefy a également publié un article de blog le 8 août 2023 annonçant les résultats de l'audit.

Voir aussi

Signal protocol, que les développeurs ont utilisé pour corriger les problèmes de sécurité.
Briar, une autre application de communication pouvant utiliser Bluetooth

Références

↑ « Mexican-based startup. »
↑ (es) Franck Velázquez, « Bridgefy, la startup mexicana que te dejará pedir un Uber o recibir una alerta sísmica sin internet », Entrepreneur,‎ 22 novembre 2018 (lire en ligne [archive du 4 septembre 2019], consulté le 4 septembre 2019)
↑ (en) Silva, « Hong Kong protestors revive mesh networks to preempt internet shutdown » [archive du 3 septembre 2019], Quartz, 3 septembre 2019 (consulté le 3 septembre 2019)
↑ (en) « Hong Kong Protestors Are Using An App That Doesn't Need Internet, And Bypass Chinese Snooping », The Times of India,‎ 3 septembre 2019 (lire en ligne [archive du 3 septembre 2019], consulté le 3 septembre 2019)
↑ (en-US) Thompson, « Hong Kong protestors using mesh-networking messaging app to evade authorities » [archive du 3 septembre 2019], Boing Boing, 3 septembre 2019 (consulté le 3 septembre 2019)
↑ ^{a b et c} (en-US) Goodin, « Bridgefy, the messenger promoted for mass protests, is a privacy disaster », Ars Technica, 24 août 2020 (consulté le 26 août 2020)
↑ ^{a et b} (en-US) « Press Release – Major Security Updates at Bridgefy! » [archive du 14 décembre 2021], Bridgefy (consulté le 27 avril 2021)
↑ ^{a et b} Eikenberg, « Breaking Bridgefy, again », GitHub (consulté le 14 juin 2022)
↑ (en) Nandi, « Bridgefy: An offline messaging app suddenly gaining traction in India », livemint.com, 19 décembre 2019 (consulté le 22 décembre 2019)
↑ (en-US) « Hong Kong protesters using Bridgefy to stop China monitoring actions » [archive du 3 septembre 2019], News | The CEO Magazine, 3 septembre 2019 (consulté le 3 septembre 2019)
↑ (en) Jowitt, « Bridgefy Grows Amid Hong Kong Protests | Silicon UK Tech News » [archive du 3 septembre 2019], Silicon UK, 3 septembre 2019 (consulté le 3 septembre 2019)
↑ (en-GB) Jane Wakefield, « Hong Kong protesters using Bluetooth app », BBC,‎ 3 septembre 2019 (lire en ligne [archive du 4 septembre 2019], consulté le 3 septembre 2019)
↑ (en) « Hong Kong: Protesters using offline app Bridgefy to avoid being identified » [archive du 3 septembre 2019], Sky News (consulté le 3 septembre 2019)
↑ (en) « Bridgefly: No part of the Bridgefy app is encrypted now. » [archive du 4 juin 2020], Twitter (consulté le 26 août 2020)
↑ Albrecht, Eikenberg et Paterson, « Breaking Bridgefy, again », USENIX Security, n^o 22,‎ 2022 (ISBN 9781939133311, lire en ligne, consulté le 14 juin 2022)
↑ Eikenberg, « Breaking Bridgefy again attack demo », Twitter (consulté le 14 juin 2022)

Liens externes

Site officiel

Portail d’Internet

[1] « Mexican-based startup. »

[2] (es) Franck Velázquez, « Bridgefy, la startup mexicana que te dejará pedir un Uber o recibir una alerta sísmica sin internet », Entrepreneur,‎ 22 novembre 2018 (lire en ligne [archive du 4 septembre 2019], consulté le 4 septembre 2019)

[3] (en) Silva, « Hong Kong protestors revive mesh networks to preempt internet shutdown » [archive du 3 septembre 2019], Quartz, 3 septembre 2019 (consulté le 3 septembre 2019)

[4] (en) « Hong Kong Protestors Are Using An App That Doesn't Need Internet, And Bypass Chinese Snooping », The Times of India,‎ 3 septembre 2019 (lire en ligne [archive du 3 septembre 2019], consulté le 3 septembre 2019)

[5] (en-US) Thompson, « Hong Kong protestors using mesh-networking messaging app to evade authorities » [archive du 3 septembre 2019], Boing Boing, 3 septembre 2019 (consulté le 3 septembre 2019)

[:0-6] {a b et c} (en-US) Goodin, « Bridgefy, the messenger promoted for mass protests, is a privacy disaster », Ars Technica, 24 août 2020 (consulté le 26 août 2020)

[:1-7] {a et b} (en-US) « Press Release – Major Security Updates at Bridgefy! » [archive du 14 décembre 2021], Bridgefy (consulté le 27 avril 2021)

[breaking-bridgefy-again-github-8] {a et b} Eikenberg, « Breaking Bridgefy, again », GitHub (consulté le 14 juin 2022)

[9] (en) Nandi, « Bridgefy: An offline messaging app suddenly gaining traction in India », livemint.com, 19 décembre 2019 (consulté le 22 décembre 2019)

[10] (en-US) « Hong Kong protesters using Bridgefy to stop China monitoring actions » [archive du 3 septembre 2019], News | The CEO Magazine, 3 septembre 2019 (consulté le 3 septembre 2019)

[11] (en) Jowitt, « Bridgefy Grows Amid Hong Kong Protests | Silicon UK Tech News » [archive du 3 septembre 2019], Silicon UK, 3 septembre 2019 (consulté le 3 septembre 2019)

[12] (en-GB) Jane Wakefield, « Hong Kong protesters using Bluetooth app », BBC,‎ 3 septembre 2019 (lire en ligne [archive du 4 septembre 2019], consulté le 3 septembre 2019)

[13] (en) « Hong Kong: Protesters using offline app Bridgefy to avoid being identified » [archive du 3 septembre 2019], Sky News (consulté le 3 septembre 2019)

[14] (en) « Bridgefly: No part of the Bridgefy app is encrypted now. » [archive du 4 juin 2020], Twitter (consulté le 26 août 2020)

[15] Albrecht, Eikenberg et Paterson, « Breaking Bridgefy, again », USENIX Security, n^o 22,‎ 2022 (ISBN 9781939133311, lire en ligne, consulté le 14 juin 2022)

[16] Eikenberg, « Breaking Bridgefy again attack demo », Twitter (consulté le 14 juin 2022)

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]