En 2019, Mozilla lançait la version définitive de son service d'envoi de fichiers lourds « Firefox Send ». Le service n’a pas survécu au temps : en septembre 2020, Mozilla annonçait l'arrêt du service qui était utilisé, d'après la fondation, pour envoyer des malwares et faire du phishing. Heureusement, un duo de développeurs a repris son flambeau.
En effet, la fermeture du service en a déçu plus d’un… deux en particulier : Feross Aboukhadijeh, auteur de WebTorrent et StandardJS, et John Hiesey, auteur de stream-http, tous deux connus dans la communauté open source. Ils ont décidé de prendre la suite avec leur startup Socket Inc. et de créer un service similaire à ce que Firefox Send proposait. Nommé Wormhole, celui-ci a la particularité de permettre en plus du partage en peer-to-peer, pour des téléchargements plus rapides.
- Chiffrement de bout en bout
- Poids maximum autorisé généreux
- Entièrement gratuit
- Les destinataires peuvent supprimer le fichier
- Pas de mot de passe pour protéger les envois
- Impossible d'arrêter l'upload
Wormhole : des fonctionnalités simples pour envoyer efficacement des documents lourds
Envoi et options
Wormhole nous accueille en allant droit au but. Au centre, de quoi partager nos fichiers, avec une petite explication sur le fonctionnement du service. En bas de la page, des liens pour expliquer les origines du service, une FAQ, la roadmap du service, la sécurité, les mentions légales, les réseaux sociaux ainsi que le choix de la langue. On apprécie que les informations sur le service (notamment sa sécurité) soient facilement accessibles, sans avoir à aller dans chercher dans des menus et sous-menus. Chacune de ces pages est d’ailleurs présentée de façon claire, expliquant en détail chacune des informations. Ici, pas besoin de créer un compte ni même d’entrer une adresse mail.
On a le choix entre sélectionner un fichier ou un dossier à partager. Si vous souhaitez envoyer plusieurs fichiers ou dossiers, il faudra tous les sélectionner en même temps dans votre explorateur de fichiers. Car une fois votre sélection faite, votre upload commence automatiquement. Il est impossible de l’annuler, mieux vaut donc vérifier à deux fois si l’on a bien sélectionné le bon fichier ou dossier. Pendant l’upload, vous pouvez régler les options - notamment choisir au bout de combien de temps le fichier doit être supprimé (il est dans tous les cas conservé 24 heures maximum) ou au bout de combien de téléchargements (entre 1 et 100).
Vous n’avez pas besoin d’attendre que l’upload se finisse pour partager le lien : Wormhole utilise un fonctionnement hybride. Jusqu’à 5 Go, il est possible d'attendre que l’upload se finisse pour que le fichier soit enregistré sur les serveurs et puisse être partagé même quand vous fermez la page du site ; ou partager directement le lien, pour un partage peer-to-peer. Au-dessus de 5 Go, le partage se fait forcément en peer-to-peer et nécessite de garder la page web ouverte jusqu’à ce que votre destinataire ait téléchargé le fichier. Le partage peut également se faire à l’aide d’un QR code, pratique pour pouvoir télécharger facilement des fichiers de votre PC sur votre téléphone.
Réception, gestion et vitesse
Wormhole promet du « peer-to-peer très rapide ». Sur le même réseau avec une connexion fibre, le téléchargement en peer-to-peer s’est fait à 28 Mo/s. L’upload complet d’un fichier de 2 Go sur leurs serveurs a pris 5 minutes et 50 secondes, auxquelles il faut ajouter 27 secondes de chiffrement du fichier, ce qui correspond à un upload à 6 Mo/s à peu près. Pas le plus lent des services donc, mais tout de même moins rapide que la majorité de ses concurrents sur le même créneau. Le téléchargement d’un fichier sauvegardé sur leurs serveurs est cependant rapide, avec une pointe à 70 Mo/s.
Quand vous envoyez un lien à un destinataire, celui-ci voit le nom du fichier et a un bouton pour le télécharger. En revanche, et c'est assez surprenant, il est encouragé à « poursuivre le partage » avec la possibilité de copier le lien en un clic et de cliquer sur un gros bouton « Partager ». L'utilité de cette fonctionnalité reste à démontrer… Encore plus étonnant : votre destinataire pourra purement et simplement supprimer votre fichier. Vous pourrez donc vous retrouver à vouloir partager un lien avec plusieurs personnes et voir l’une d’entre elles supprimer votre fichier (par erreur ou intentionnellement), empêchant les autres d’y avoir accès. Cela laisse dubitatif, c'est le moins qu'on puisse dire.
En retournant sur la page d’accueil, vous pouvez voir les liens que vous avez générés avec le délai d’expiration, le nom du fichier et sa taille. Vous avez la possibilité de copier le lien ou de l'ouvrir. On pourrait penser que la petite croix en haut à droite de chacun des fichiers permet de les supprimer, mais il n’en est rien : elle sert juste à les supprimer de l’historique. Pour les faire définitivement disparaitre, il faut cliquer sur le lien et appuyer sur « Supprimer », comme peut le faire votre destinataire. Autant dire que la gestion des liens ne semble pas encore au point.
Wormhole : sécurité et vie privée
Sécurité
Tous vos partages de fichiers sont chiffrés de bout en bout. Les fichiers sont chiffrés côté client à l’aide de l’API Web Crypto, qui est open source. Celle-ci génère une clé secrète et un sel. À partir de ceux-ci, des clés supplémentaires sont créées pour chiffrer les fichiers, les métadonnées et un token qui authentifie les requêtes de téléchargement. Chaque partie est chiffrée à l’aide de sa propre clé individuelle. L’algorithme de chiffrement utilisé est AES-128. Que vous choisissiez de télécharger le fichier en torrent ou à partir du serveur, celui-ci sera chiffré une nouvelle fois et, s’il est inférieur à 5 Go, sera stocké de façon sécurisée. La clé secrète, nécessaire pour déchiffrer les différentes parties, est contenue dans l'URL de partage et n’est jamais envoyée aux serveurs de l’entreprise.
Le protocole TLS est utilisé pour les communications entre le navigateur et le serveur. TLS 1.3 est utilisé pour les appareils modernes et TLS 1.2 pour les appareils plus vieux, sans jamais aller plus bas. L'entreprise indique que leur implémentation TLS est notée A+ par Qualys SSL Labs, mais lorsqu'on clique sur le lien fourni la note qui s'affiche est un B.
Le code source du service dans sa totalité n’est pour le moment pas open source, mais l’implémentation du chiffrement pour la partie torrent est disponible sur GitHub. Wormhole propose un système de bug bounty, avec 1 000$ à la clé pour qui trouvera une faille de sécurité dans leur service. La société précise que ce n’est pour le moment jamais arrivé… Mozilla Observatory a récompensé la configuration de leur site par un A+. On regrette que, malgré tout le soin mis dans la sécurité, une fonctionnalité de base comme la protection des partages à l’aide d’un mot de passe ne soit pas encore disponible.
Vie privée
Wormhole ne demande aucune information personnelle pour utiliser le service. Quelques informations techniques, nécessaires pour le fonctionnement du service, sont stockées sur leurs serveurs. Vos fichiers de moins de 5 Go le sont également, mais ne sont accessibles à personne dans l’entreprise et sont supprimés au bout de 24 heures maximum. Les quelques informations récupérées sont envoyées aux États-Unis et peuvent être partagées à des services tiers, comme leur hébergeur web. Le site web ne possède ni publicités ni traqueurs.
Wormhole : prix, abonnement et futures évolutions
Pour le moment, Wormhole est entièrement gratuit, mais cela pourrait changer avec la mise en place d’un abonnement payant. Il semble être pour le moment envisagé à 10$/mois, d’après leur sondage Google, et permettrait d’envoyer des fichiers plus volumineux. Une offre pour les entreprises qui ont de hauts standards de sécurité est aussi envisagée.
Wormhole est un jeune service et a encore une grosse marge de progression. Le développement est transparent grâce à une roadmap accessible à tous. Parmi les nouveautés majeures auxquelles on peut s’attendre prochainement, l’abonnement payant donc, mais aussi la possibilité de choisir de transférer ses fichiers uniquement en P2P sans sauvegarde sur le serveur, voir ses partages récents, une protection par mot de passe, la possibilité de reprendre son upload là où il s’est arrêté lorsque l’on a fermé la page et celle de créer un lien pour recevoir des fichiers de n’importe qui.
Wordmhole : les applications
Aucune application mobile n’existe pour le moment pour Wormhole. Une application Android était prévue pour le troisième trimestre 2021, tandis que celle pour iOS était notée pour le quatrième trimestre de 2021. En attendant, la version mobile du site web fonctionne très bien et fait parfaitement l’affaire. Une application est disponible sur le Windows Store, mais elle n’apporte pas vraiment davantage par rapport au site web.
Bien que le téléchargement (direct ou en P2P) ne soit pas illégal en soi, il est interdit de télécharger des œuvres protégées par le droit d'auteur ou d’autres droits de propriété intellectuelle sans l’autorisation des titulaires de ces droits. Clubic recommande expressément aux utilisateurs de son site et aux tiers de respecter scrupuleusement ces droits ; étant rappelé qu’en France la violation des droits d’auteurs est constitutive du délit de contrefaçon puni d’une peine de 300 000 euros d’amende et de 3 ans d'emprisonnement (art. L. 335-2 s. CPI) et qu’il existe également des sanctions spécifiques en cas de contournement de mesures techniques de protection (art. L. 335-3-1 et L.335-3-2 CPI). En outre, le titulaire de l’abonnement à internet doit veiller à l’usage licite de sa connexion, sauf à s’exposer au risque de contravention de négligence caractérisée sanctionnée par une peine d’amende de 1 500 € pour les personnes physiques. En cas d’utilisation d’un logiciel P2P pour télécharger ou mettre à disposition des œuvres protégées par le droit d’auteur, sans autorisation, le titulaire de la connexion à internet pourra être destinataire de recommandations de l’Arcom et, en cas de constats répétés, être poursuivi sur le fondement de la contravention de négligence caractérisée. Plus d'informations sur le téléchargement illégal
Lire la charte de confiance
