Transparence & sécurité

Pourquoi BiCrypt n'est pas (encore) open source

Question légitime, réponse honnête. Le code fermé n'enlève rien à ta sécurité — et voici comment le vérifier par toi-même.

BiCrypt est-il open source ?

Non, pas aujourd'hui. Le code de l'application est fermé et obfusqué. C'est un choix assumé — mais il ne repose pas sur l'idée qu'un code caché serait plus sûr (ce serait faux). Les trois réponses ci-dessous expliquent pourquoi.

Si le code est fermé, comment être sûr que c'est sécurisé ?

Parce que la sécurité de BiCrypt ne dépend pas du secret du code, mais de primitives cryptographiques publiques et éprouvées : X25519 (échange de clés), Ed25519 (signatures) et XSalsa20-Poly1305 (chiffrement).

Ce sont des standards documentés, implémentés par des bibliothèques auditées par la communauté mondiale. C'est le principe de Kerckhoffs : un système reste sûr même si tout, sauf la clé, est connu. Ouvrir le code ne révélerait aucun secret cryptographique — la sécurité viendrait exactement des mêmes mathématiques.

Alors pourquoi garder le code fermé ?

Pour te protéger, toi. Les messageries populaires sont la cible de faux clones piégés : des versions modifiées, rediffusées sous le même nom sur des stores tiers, qui espionnent l'utilisateur à son insu (ça existe déjà pour Signal, Telegram, WhatsApp).

En gardant BiCrypt fermé, obfusqué et signé cryptographiquement, une contrefaçon devient détectable : le binaire officiel porte une signature et une empreinte SHA-256 vérifiables. Un utilisateur non-technique ne se retrouve pas avec une version trafiquée sans le savoir.

Comment vérifier vos affirmations, concrètement ?

La confiance ne se décrète pas, elle se vérifie. Ce qui est (ou sera) à ta disposition :

Le relais peut-il lire mes messages ?

Non. Tout est chiffré de bout en bout sur ton appareil avant le moindre envoi. Le relais ne voit que des blocs chiffrés qu'il est incapable de déchiffrer, et les transmet sans les stocker. Ton adresse IP est masquée par le réseau Tor. Il n'y a, littéralement, rien de lisible à intercepter ni à remettre à quiconque.

Notre engagement. Le code fermé protège aujourd'hui les utilisateurs des clones malveillants ; il ne sert pas à cacher quoi que ce soit. À mesure que le projet grandit, la trajectoire est claire : protocole documenté, builds reproductibles et audit indépendant. La sécurité se prouve, elle ne se promet pas.