Jack Dorsey, ex-patron de Twitter et PDG de Block, a dévoilé début juillet 2025 un projet aussi audacieux que controversé : Bitchat, une messagerie instantanée chiffrée, décentralisée et sans connexion Internet. Une alternative radicale à WhatsApp, Signal ou Telegram qui s’appuie sur le Bluetooth pour fonctionner.
Sii l’idée est séduisante, les premières analyses du code laissent planer des doutes sur sa sécurité.
La messagerie Bitchat fonctionne en Bluetooth sans accès Internet
À l’heure où la majorité des communications transitent par des serveurs centralisés, Bitchat propose un contre-modèle. L’application repose sur un protocole peer-to-peer via Bluetooth, où les messages sont relayés d’appareil en appareil jusqu’à atteindre leur destinataire, sans recourir à Internet, au Wi-Fi ni au réseau mobile.
Pas de numéro de téléphone, pas de mail, pas de pseudonyme obligatoire : les échanges sont censés être anonymes, chiffrés de bout en bout, et résistants à la surveillance. Une promesse séduisante, notamment pour les militants ou les journalistes dans des contextes sensibles où les connexions sont contrôlées ou censurées.
Comment fonctionne Bitchat ?
Bitchat exploite le Bluetooth Mesh, une technologie qui permet à un message d’être transmis en rebondissant de téléphone en téléphone. Les messages peuvent ainsi circuler à travers une chaîne d’appareils intermédiaires, sans que ces derniers n’aient besoin de se connaître ou d’interagir autrement.
L’application prend en charge les messages privés, les groupes, les canaux publics et privés, ainsi qu’un mode « effacement d’urgence » pour supprimer rapidement toutes les données de l’application.
Elle est disponible en test via TestFlight (iOS) et sur Android via APK, son code étant publié en open source sur GitHub.
Une application codée en 48 heures avec l’IA
Le plus surprenant, c’est que Bitchat a été développé en un week-end. Jack Dorsey explique avoir utilisé Goose, l’assistant IA de codage de Block, pour concrétiser ce défi de « vibe coding » personnel.
L’objectif : créer chaque jour un projet dont il ne pensait pas être capable… et tester les limites actuelles des IA génératrices de code.
« Cela a fonctionné en une journée. J’ai ajouté les canaux et la messagerie privée le lendemain », a-t-il écrit sur GitHub. Mais si l’intention est louable, cette vitesse de développement soulève des interrogations sur la robustesse du code produit.
Des promesses de sécurité déjà fragilisées
Dès les premiers jours de la mise en ligne, le chercheur en sécurité Alex Radocea a identifié une faille critique : il est possible d’usurper l’identité d’un contact. Le système d’authentification est défaillant : Bitchat accepte les clés d’identification sans réelle vérification cryptographique.
Un attaquant peut ainsi se faire passer pour un « favori » de l’utilisateur, et recevoir des messages censés être confidentiels. Jack Dorsey a depuis reconnu le problème, et avertit que l’application ne doit pas être utilisée en production. La mention « Work in progress » a été ajoutée sur GitHub, accompagnée d’un message appelant à la prudence.
D’autres vulnérabilités ont été évoquées, notamment un possible débordement mémoire, ou des doutes sur l’implémentation de la forward secrecy. Si le code est ouvert, il n’a pas encore été audité par des experts indépendants.
Bitchat reste donc un projet intéressant pour explorer l’avenir de la communication sans Internet, mais il est loin d’être prêt pour une utilisation grand public. Son développement éclair, piloté par une IA, montre à la fois le potentiel de ces outils… et les risques à les utiliser sans contrôle humain rigoureux.
