Utiliser une conversation WhatsApp pour partager un mot de passe à un pote, c'est un peu comme écrire son code de carte bleue au marker dans des chiottes publics. Sauf que les messages, eux, restent des années dans l'historique car y'a personne qui viendra nettoyer ça. Heureusement, Nullroom vient régler ce genre de bricole en mode radical, avec un chat P2P chiffré qui s'autodétruit au bout d'un quart d'heure, sans avoir à vous créer de compte et sans laisser de trace côté serveur.

Alors comment ça fonctionne ? Hé bien vous cliquez sur "CREATE SECURE ROOM", un lien apparaît, vous le balancez à votre correspondant par le canal de votre choix (Signal, SMS, pigeon voyageur...etc), et hop, une session chiffrée s'ouvre entre vos deux navigateurs. Vous pouvez alors discuter, échanger éventuellement des fichier (jusqu'à 16 Mo max en beta), et après 15 minutes, la room s'évaporera. Purement et simplement et aucun serveur n'aura vu passer vos échanges (mis à par quelques bouts de métadonnées pour établir la connexion).

Sous le capot, y'a un truc crypto assez chouette qui est une clé de chiffrement AES-GCM 256 bits, générée côté client via l'API Web Crypto du navigateur, qui vit dans le fragment de l'URL (c'est la partie qui vient après le #). Et comme les navigateurs n'envoient JAMAIS ce fragment au serveur, vu que c'est un standard HTTP, vous êtes tranquille.

Et voilà comment votre clé de session n'existe que chez vous et chez votre correspondant. Le serveur de Nullroom ne la voit pas, même pas une microseconde. C'est le même trick que celui qu'utilise PrivateBin pour les snippets chiffrés, mais appliqué à du chat en direct.

Le flux de données, lui, passe en direct d'un navigateur à l'autre via WebRTC et le serveur ne sert comme je vous le disais plus haut, qu'à la poignée de main initiale.

Ensuite, les messages et les fichiers circulent en peer-to-peer, relayés via les serveurs TURN de Cloudflare quand votre NAT coince. Donc au pire, Cloudflare voit passer du trafic 100% chiffré, et pas le contenu en clair. Les logs serveur sont également désactivés sur les chemins des rooms, et les UUIDs de sessions vivent dans un Redis totalement volatile qui est nettoyé au bout de ces fameuses 15 minutes.

Niveau limites, une room c'est deux personnes max donc si vous cherchiez un remplaçant à Signal ou à Briar, ce n'est pas le bon outil. C'est juste une messagerie pour un échange ponctuel entre 2 personnes.

Et l'équipe ou l'entreprise derrière n'est pas affichée côté site (pas de mentions légales, pas de juridiction précisée), donc attention ! Ça reste du "faites-vous votre opinion" mais comme le code est open source (licence MIT) sur GitHub vous pouvez quand même l'analyser et monter votre propre infra Nullroom.

Pour le quotidien, c'est un service qui est bien foutu, que ce soit pour un mot de passe à filer à un collègue en télétravail, un lien temporaire à partager pendant une réu, une confidence à un pote qui n'a rien à faire dans les archives iMessage, ou encore un numéro de compte à transmettre vite fait avant que l'autre ne parte en vacances... Tous ces cas d'usage existent et la friction est quasi nulle donc c'est plutôt une bonne approche je trouve.

Voilà, si vous voulez tester le concept d'une conversation qui n'aura jamais eu lieu, filez sur nullroom.io.

Vous avez besoin de partager un gros fichier avec un pote au travers d’Internet ? Bon, y’a WeTransfer et ce genre de choses mais ça reste limité en taille de fichier et c’est stocké on ne sait où… Après vous pouvez tenter scp en priant pour qu’il n’ait pas 15 couches de NAT, mais bon galère quoi…

Bienvenue dans sur le nouvel Internet, où le peer-to-peer est mort et enterré sous des tonnes de NAT, de pare-feu et de FAI qui bloquent tout. Du coup, on a tous abandonné le P2P pour le cloud et on upload nos fichiers comme des cons, lentement, parfois en payant, au lieu de balancer la sauce en direct.

Heureusement, y’a SendMe qui vient nous rappeler qu’Internet peut fonctionner autrement. C’est un outil de transfert de fichiers qui connecte deux machines directement, sans serveur intermédiaire. Vous lancez sendme send ~/mes_photos, ça génère un ticket unique, vous envoyez ce ticket à votre destinataire, il tape sendme receive blobQmFoo..., et c’est parti mon kiki pour un transfert direct à l’ancienne, device-to-device.

Pas de compte, pas de limite, que dalle à configurer, juste deux machines qui se parlent directement, comme au bon vieux temps !

Le truc cool, c’est que SendMe utilise Iroh , un protocole P2P qui contourne tous les problèmes de NAT et compagnie puisqu’il fonctionne avec un système de “dial by public key” où chaque endpoint a une clé publique unique de 256 bits. Et ensuite, vous vous connectez en utilisant cette clé plutôt qu’une adresse IP.

Quand vous générez un ticket avec SendMe, ce ticket contient la clé publique de votre machine que le destinataire utilise pour se connecter chez vous. Peu importe que vous soyez derrière un NAT, que votre adresse IP change, ou que vous n’ayez aucune idée de ce qu’est un port forwarding. Iroh gère le NAT hole punching automatiquement, et si vraiment la connexion directe est impossible, il passe par un serveur relai en fallback.

Iroh, c’est du QUIC pur jus, un protocole de transport moderne dont je vous ai déjà parlé, qui apporte pas mal de trucs cools comme du chiffrement, de l’authentification par défaut (TLS 1.3), du multiplexage de streams, pas de head-of-line blocking, et connexion en zéro round-trip. Du coup, une fois connecté, les transferts peuvent saturer une connexion 8 Gbps sans problème !

Les fichiers sont ainsi streamés avec vérification Blake3, donc vous êtes sûr de l’intégrité des données et si le transfert est interrompu, pas de problème, il reprend là où il s’était arrêté. Et comme tout passe en chiffrement de bout en bout via QUIC, personne ne peut voir ce qui transite dans les tutubes de votre Internet.

L’installation sur Unix/Linux/macOS, un petit curl et hop, c’est plié :

curl -fsSL https://iroh.computer/sendme.sh | sh

Sur Windows:

iwr https://www.iroh.computer/sendme.ps1 -useb | iex

Vous vous retrouvez avec un binaire sendme prêt à l’emploi.

Maintenant, si vous préférez une interface graphique plutôt que la ligne de commande, il existe aussi AltSendme , une application desktop cross-platform qui utilise le même protocole Iroh. L’app est développée en Rust avec Tauri pour le backend et React + TypeScript pour le frontend et le gros avantage, c’est qu’elle est compatible avec SendMe CLI. Vous pouvez donc générer un ticket avec l’interface graphique et quelqu’un peut le recevoir en ligne de commande, ou vice-versa.

AltSendme ajoute également une couche d’interface utilisateur sympa tout en gardant toute la puissance technique d’Iroh… Même chiffrement de bout en bout (QUIC + TLS 1.3), même NAT hole punching, même vérification Blake3, mêmes téléchargements résumables. C’est dispo sous Windows, macOS (Intel et Apple Silicon), et Linux (deb et AppImage) et comme d’hab, le projet est open-source sous licence AGPL-3.0.

En février dernier, les dev ont ajouté le support navigateur via WebAssembly, ce qui signifie qu’à terme, vous pourrez faire du P2P directement depuis votre navigateur. Ils bossent aussi sur QUIC Multipath, une extension qui permet d’utiliser plusieurs chemins réseau simultanément pour encore plus de performance et de résilience.

L’idée derrière Iroh, c’est donc de redonner aux internautes le contrôle de leurs réseaux plutôt que de tout centraliser comme des teubés sous crack sur des serveurs Amazon, Google ou Microsoft. Ce protocole permet ainsi aux machines de se parler directement, comme Internet était censé fonctionner à l’origine.

SendMe et AltSendme ne sont que deux applications construites sur Iroh et ce protocole lui-même offre d’autres modules comme iroh-blobs (pour le transfert de fichiers verified) et iroh-gossip (pour la communication en temps réel). Vous pourriez donc construire du streaming vidéo avec priorisation de streams, du networking de jeux, de la communication temps réel, ou n’importe quelle app qui a besoin de connexions directes rapides et sécurisées entre devices, avec ce truc.

Merci à Lorenper pour le partage de cette découverte.

Vous en avez marre de WhatsApp, Telegram ou Discord qui lisent vos messages, stockent vos données et décident de qui peut parler à qui ? Ça tombe bien car il existe une alternative radicale qui vient de sortir en version 1.0.

Ça s’appelle Xeres , et contrairement à tout ce que vous utilisez aujourd’hui, ça ne passe par aucun serveur. Que dalle.

Il s’agit d’un vrai réseau Friend-to-Friend, c’est à dire que vous ne vous connectez qu’aux gens que vous connaissez vraiment. Pas de serveur central qui pourrait tomber, être saisi par le FBI ou décider de vendre vos conversations à des annonceurs. Juste vous et vos potes, en direct, chiffrés de bout en bout avec du PGP v4 et du RSA 3072 bits. Votre IP est uniquement visible par vos amis directs, et si vous voulez parler à un ami de votre ami, ça passe par des tunnels anonymes.

Le truc, c’est que Xeres est compatible avec Retroshare , ce vieux de la vieille du P2P décentralisé qui existe depuis des années. Donc si vous avez des potes qui utilisent déjà Retroshare 0.6.6 ou plus récent, vous pouvez vous connecter à eux sans problème. C’est un peu comme si Signal et BitTorrent avaient eu un enfant qui aurait grandi dans les années 90 en écoutant du punk et en lisant des manifestes crypto-anarchistes.

Mais alors comment ça marche techniquement, me direz-vous ? Et bien c’est simple. Vous installez Xeres sur votre machine (Windows, Linux, macOS, ou même Android), vous générez votre identité cryptographique, et vous échangez vos certificats avec vos amis. Pas de login, pas de mot de passe à retenir, pas de numéro de téléphone à fournir. Juste un échange de clés comme au bon vieux temps.

Une fois connecté, vous avez alors accès à tout un tas de services décentralisés. Du chat bien sûr, mais aussi des salons de discussion, des forums, du partage de fichiers, et même la possibilité de discuter avec des gens que vous ne connaissez pas directement via les fameux tunnels anonymes dont je vous parlais. C’est votre propre petit bout d’Internet privé avec vos amis, quoi.

Cette nouvelle release qui vient de sortir apporte pas mal d’améliorations . Meilleures perf avec Java, support macOS restauré, stickers dans les chats, alias de discussion, et même un système de mise à jour automatique sous Windows. Les versions précédentes avaient déjà ajouté un client Android pour se connecter à distance à votre instance qui tourne chez vous, du support pour les architectures ARM sous Linux, et plein d’autres trucs sympas.

D’ailleurs, parlons un peu de cette histoire de Friend-to-Friend (F2F) vs P2P classique. Dans un réseau P2P normal, tout le monde connaît l’IP de tout le monde. Pratique pour partager des fichiers, mais niveau anonymat et vie privée, c’est moyen. Dans un réseau F2F , vous ne voyez que vos contacts directs, et le reste du réseau vous est invisible. Ça limite un peu la portée, mais ça renforce énormément la sécurité et l’anonymat.

Xeres va même plus loin en supportant les transports via Tor et I2P en mode client. Donc si vous voulez vraiment rester anonyme, vous pouvez faire passer toutes vos connexions par ces réseaux. Ainsi vos amis directs ne verront même pas votre vraie IP. Oui, c’est pour les paranos, mais c’est top !

Maintenant pour l’installer, rendez-vous sur la page de téléchargement et choisissez la version qui correspond à votre système. Il y a des installeurs pour Windows, des paquets .deb pour Ubuntu, des images DMG pour macOS (Intel et Apple Silicon), et même une image Docker si vous voulez faire tourner ça sur un serveur en mode headless.

Toutes les releases sont signées avec une clé PGP, donc vous pouvez vérifier que personne n’a trafiqué le fichier que vous téléchargez. Donc prenez 30 secondes pour vérifier la signature, ça vaut le coup pour un logiciel de communication chiffré.

Et une fois installé, vous verrez, l’interface est plutôt moderne avec plusieurs thèmes au choix. Rien à voir avec les vieilles interfaces des logiciels P2P des années 2000. C’est propre, c’est réactif, et ça utilise JavaFX pour l’accélération matérielle. Oui, c’est du Java moderne qui ne fait pas ramer votre machine.

Le projet est disponible en open source sur GitHub sous licence GPL-3.0.

Bref, l’idée derrière Xeres, c’est de promouvoir la liberté d’expression en créant une alternative aux plateformes centralisées qui peuvent censurer, surveiller ou tout simplement disparaître du jour au lendemain. C’est un peu radical, mais vu l’état actuel de la centralisation du web, c’est pas plus mal d’avoir ce genre d’alternative.

Vous trouverez toute la documentation sur le site officiel , avec des guides de démarrage, des explications sur l’architecture, et des options de ligne de commande pour ceux qui veulent pousser le truc plus loin. Il y a même un mode client/serveur pour que votre instance tourne en permanence chez vous et que vous puissiez vous y connecter depuis votre téléphone Android.

Sympa non ?