ArcaChat : messagerie chiffrée utilisant Gmail comme serveur sans infrastructure

Un nouveau projet open source, baptisé ArcaChat, propose une approche originale de la messagerie instantanée chiffrée. Développé par un créateur utilisant le pseudonyme Vivarto, ce logiciel utilise les boîtes Gmail comme unique moyen de transport des messages, éliminant ainsi le besoin d'un serveur central.

Un principe simple : Gmail comme courrier

ArcaChat repose sur une idée simple : chaque utilisateur possède un compte Gmail. Le logiciel envoie et reçoit les messages chiffrés via ce service de messagerie, imitant l'interface et les fonctionnalités de WhatsApp. Les messages sont protégés par un chiffrement AES-256, un standard militaire et gouvernemental réputé inviolable sans la clé.

Selon la description du projet, cette architecture "sans serveur" signifie qu'aucune infrastructure supplémentaire n'est nécessaire au-delà des comptes Gmail des interlocuteurs. Les messages transitent par les serveurs de Google, mais leur contenu est illisible pour l'entreprise américaine ou tout tiers interceptant la communication.

Fonctionnement technique

L'application, dont le code source est disponible publiquement, crée une interface utilisateur proche de celle des messageries instantanées modernes. L'utilisateur configure ses identifiants Gmail, et le logiciel se charge de la récupération et de l'envoi des messages. Chaque message est chiffré avec la clé AES-256 avant d'être expédié via le protocole SMTP (envoi) ou IMAP (réception) de Gmail.

Le développeur précise que le système ne nécessite "aucun serveur". Concrètement, cela signifie que les messages ne sont jamais stockés sur un serveur intermédiaire autre que ceux de Google, et que le chiffrement empêche toute lecture par un tiers.

Implications en matière de confidentialité

Cette approche présente plusieurs avantages en termes de confidentialité. D'une part, elle évite la centralisation des données de messagerie sur un serveur dédié, qui pourrait être ciblé par des attaques ou soumis à des réquisitions judiciaires. D'autre part, le chiffrement AES-256 est considéré comme robuste, même face à des acteurs étatiques.

Cependant, l'utilisation de Gmail comme transport soulève des questions. Google a accès aux métadonnées (qui envoie à qui, à quel moment, la taille des messages), même s'il ne peut pas lire le contenu chiffré. De plus, la sécurité du système dépend entièrement de celle du compte Gmail : si un attaquant accède au compte, il peut intercepter les messages chiffrés.

Un projet en développement

Le projet, hébergé sur la plateforme de développement collaboratif GitHub, est actuellement en phase initiale. Au moment de la publication, le dépôt ne comptait aucun "star" ni "fork", et aucune issue n'était ouverte. Le code est public, ce qui permet à la communauté de l'inspecter, de l'améliorer ou de le forker.

L'interface utilisateur évoque celle de WhatsApp, avec des bulles de conversation et une liste de contacts. Cette familiarité pourrait faciliter l'adoption par un public non technique, même si l'installation et la configuration initiale nécessitent probablement des compétences en développement.

Contexte et alternatives

ArcaChat s'inscrit dans une tendance plus large de recherche d'alternatives aux messageries centralisées, dominées par WhatsApp (Meta), Signal ou Telegram. Des projets comme Briar, Matrix ou Tox proposent également des architectures décentralisées, mais utilisent leurs propres réseaux ou protocoles.

L'originalité d'ArcaChat réside dans l'utilisation d'un service existant (Gmail) comme infrastructure, ce qui évite la maintenance de serveurs et pourrait réduire les coûts. En contrepartie, la dépendance à Google et les limites de la boîte Gmail (stockage, taille des pièces jointes, fiabilité) constituent des contraintes.

Limites et précautions

Plusieurs points doivent être notés. Le projet n'a pas fait l'objet d'un audit de sécurité indépendant. Le chiffrement AES-256 est solide, mais la mise en œuvre logicielle peut contenir des vulnérabilités. Les utilisateurs potentiels doivent être conscients que les clés de chiffrement sont stockées localement et que la perte de l'appareil ou l'oubli du mot de passe pourrait entraîner une perte d'accès aux messages.

Par ailleurs, l'utilisation de Gmail implique l'acceptation des conditions d'utilisation de Google, qui pourraient être modifiées ou interdire ce type d'usage automatisé. Le développeur n'a pas précisé si le projet respecte les limites de taux de Gmail (quotas d'envoi).

Perspectives

Pour l'instant, ArcaChat reste un projet de niche, principalement destiné aux développeurs et aux amateurs de solutions de messagerie auto-hébergées. Son adoption dépendra de sa facilité d'utilisation, de la qualité de la documentation et de l'intérêt de la communauté.

Le créateur du projet n'a pas communiqué de feuille de route ni de plans pour une version stable. Le dépôt GitHub contient le code source mais peu de documentation utilisateur.

En conclusion, ArcaChat illustre une approche créative pour contourner les contraintes des messageries centralisées. En utilisant Gmail comme simple transport et en assurant le chiffrement côté client, il offre une solution potentiellement intéressante pour des communications sensibles, à condition que ses limitations et risques soient compris.

ArcaChat : une messagerie chiffrée exploitant Gmail comme serveur sans infrastructure

À lire ensuite

La fusée New Glenn de Blue Origin détruite lors d'un essai : un revers majeur pour Amazon et la Nasa

Dell triple presque ses prévisions de ventes de serveurs IA, à 60 milliards de dollars

Acer officialise sa console portable Predator Atlas 8, première à embarquer la nouvelle puce Intel Arc G3

Peter Thiel installe sa famille en Argentine, séduit par les réformes libertaires de Milei