Adrian William Jaime, Valeria Tapia Cruz et Mairi Cowan, 3 chercheurs de l'Université de Toronto, viennent de boucler le déchiffrement complet d'une lettre que personne n'avait jamais réussi à lire en entier depuis sa redécouverte en 1860. C'est Bruce Schneier qui relaye l'info sur son blog , et c'est pil poil une histoire qui prouve que l'infosec ne date pas d'hier.

La lettre fait 11 pages, elle a été écrite à Londres le 25 juillet 1498 par Pedro de Ayala, un noble de Tolède en mission diplomatique en Angleterre pour le compte de Ferdinand d'Aragon et Isabelle de Castille.

Pour empêcher les rivaux de la lire si jamais elle se faisait intercepter en chemin, Ayala a alors chiffré une partie du texte avec un système de symboles maison où, vice ultime du gars, plusieurs symboles différents pouvaient représenter la même lettre.

Première page de la lettre

Par conséquent, la table de fréquences classique, celle qui marche sur les chiffres mono-alphabétiques basiques, ne donnait donc rien de propre. Voilà pourquoi la chose a tenu 165 ans face à des historiens qui s'y cassaient les dents les uns après les autres.

Mais notre petite équipe de Toronto a fini par reconstruire la clé entière, symbole par symbole, et a publié la transcription complète dans Renaissance Studies en libre accès.

Et faut dire qu'une fois le texte en clair, le contenu vaut largement le travail !

En effet, Pedro de Ayala fait à ses souverains un brief politique cash sur l'état de la Grande-Bretagne. Sur Jacques IV d'Écosse, il balance que le mec parle latin, français, allemand, flamand, italien, espagnol et probablement gaélique, qu'il décrit comme « une langue que les sauvages parlent dans une certaine partie de son royaume ». Charmant.

Sur les Écossaises, c'est encore mieux : « Les femmes sont très courtoises à l'extrême. Je dis cela parce qu'elles sont très audacieuses. Elles sont les gouvernantes absolues de leurs maisons. »

Et sur Henri VII d'Angleterre, l'envoyé espagnol ne mâche pas ses mots : « Il n'est pas aimé du tout, la reine en revanche est beaucoup aimée parce qu'elle peut faire peu. ». Avec ce qu'il balance, je comprends que ce diplomate ait bien bossé son chiffrement.

Pedro, à fond dans le chiffrement !

Le bonus historique, c'est que la lettre confirme aussi le voyage transatlantique de Jean Cabot l'année précédente, avec une remarque assez piquante adressée à Ferdinand et Isabelle : « ce qu'ils ont trouvé ou cherchent est ce que Vos Altesses possèdent. » Traduction polie : les Anglais sont en train de venir mettre les pieds dans votre pré carré américain.

La lettre originale, numérisée, est consultable directement dans les archives espagnoles si vous voulez voir à quoi ressemble du chiffrement diplomatique fait main au XVe siècle.

Le truc qui me fait marrer dans cette affaire, c'est de réaliser que les principes du chiffrement par homophones, le fait d'utiliser plusieurs symboles pour la même lettre afin d'aplatir la fréquence d'apparition, ce sont exactement les bases sur lesquelles ont été pensées plus tard les machines comme Enigma.

Pedro de Ayala, en 1498, faisait déjà sans le savoir un peu de cryptanalyse-resistant design. Et 5 siècles plus tard, il aura fallu trois universitaires et probablement des outils informatique que lui n'aurait jamais pu imaginer pour casser sa petite combine.

Trop fort Pedro !!

Source : Medievalists.net

Utiliser une conversation WhatsApp pour partager un mot de passe à un pote, c'est un peu comme écrire son code de carte bleue au marker dans des chiottes publics. Sauf que les messages, eux, restent des années dans l'historique car y'a personne qui viendra nettoyer ça. Heureusement, Nullroom vient régler ce genre de bricole en mode radical, avec un chat P2P chiffré qui s'autodétruit au bout d'un quart d'heure, sans avoir à vous créer de compte et sans laisser de trace côté serveur.

Alors comment ça fonctionne ? Hé bien vous cliquez sur "CREATE SECURE ROOM", un lien apparaît, vous le balancez à votre correspondant par le canal de votre choix (Signal, SMS, pigeon voyageur...etc), et hop, une session chiffrée s'ouvre entre vos deux navigateurs. Vous pouvez alors discuter, échanger éventuellement des fichier (jusqu'à 16 Mo max en beta), et après 15 minutes, la room s'évaporera. Purement et simplement et aucun serveur n'aura vu passer vos échanges (mis à par quelques bouts de métadonnées pour établir la connexion).

Sous le capot, y'a un truc crypto assez chouette qui est une clé de chiffrement AES-GCM 256 bits, générée côté client via l'API Web Crypto du navigateur, qui vit dans le fragment de l'URL (c'est la partie qui vient après le #). Et comme les navigateurs n'envoient JAMAIS ce fragment au serveur, vu que c'est un standard HTTP, vous êtes tranquille.

Et voilà comment votre clé de session n'existe que chez vous et chez votre correspondant. Le serveur de Nullroom ne la voit pas, même pas une microseconde. C'est le même trick que celui qu'utilise PrivateBin pour les snippets chiffrés, mais appliqué à du chat en direct.

Le flux de données, lui, passe en direct d'un navigateur à l'autre via WebRTC et le serveur ne sert comme je vous le disais plus haut, qu'à la poignée de main initiale.

Ensuite, les messages et les fichiers circulent en peer-to-peer, relayés via les serveurs TURN de Cloudflare quand votre NAT coince. Donc au pire, Cloudflare voit passer du trafic 100% chiffré, et pas le contenu en clair. Les logs serveur sont également désactivés sur les chemins des rooms, et les UUIDs de sessions vivent dans un Redis totalement volatile qui est nettoyé au bout de ces fameuses 15 minutes.

Niveau limites, une room c'est deux personnes max donc si vous cherchiez un remplaçant à Signal ou à Briar, ce n'est pas le bon outil. C'est juste une messagerie pour un échange ponctuel entre 2 personnes.

Et l'équipe ou l'entreprise derrière n'est pas affichée côté site (pas de mentions légales, pas de juridiction précisée), donc attention ! Ça reste du "faites-vous votre opinion" mais comme le code est open source (licence MIT) sur GitHub vous pouvez quand même l'analyser et monter votre propre infra Nullroom.

Pour le quotidien, c'est un service qui est bien foutu, que ce soit pour un mot de passe à filer à un collègue en télétravail, un lien temporaire à partager pendant une réu, une confidence à un pote qui n'a rien à faire dans les archives iMessage, ou encore un numéro de compte à transmettre vite fait avant que l'autre ne parte en vacances... Tous ces cas d'usage existent et la friction est quasi nulle donc c'est plutôt une bonne approche je trouve.

Voilà, si vous voulez tester le concept d'une conversation qui n'aura jamais eu lieu, filez sur nullroom.io.

Dans un article publié le 9 avril 2026, le site américain 404 Media révèle comment le FBI est parvenu à récupérer des messages Signal effacés depuis un iPhone, alors même que l’application n’était plus installée sur l’appareil.

La firme de Mountain View vient d'annoncer une migration complète vers la cryptographie post-quantique d'ici trois ans, bien plus tôt que ce que l'industrie anticipait. Une course contre-la-montre qui se matérialise déjà dans Android 17.

Le 20 mars 2026, un journaliste de Numerama a reçu sur son compte Signal un message prétextant émaner du support de la messagerie chiffrée. Une campagne cyber-malveillante dans le viseur des autorités européennes depuis plus d'un mois.

Mi-mars 2026, Meta a discrètement annoncé la fin du chiffrement de bout en bout sur les messages privés d'Instagram. La fonctionnalité disparaîtra le 8 mai prochain. Pourquoi un tel retrait ?

Le gestionnaire de mots de passe Keeper déploie un nouveau standard de chiffrement résistant aux futurs ordinateurs quantiques. Le but : contrer les hackers qui volent des données chiffrées aujourd'hui pour les casser demain.

Le gestionnaire de mots de passe Keeper déploie un nouveau standard de chiffrement résistant aux futurs ordinateurs quantiques. Le but : contrer les hackers qui volent des données chiffrées aujourd'hui pour les casser demain.

Le 23 janvier 2026, Microsoft avouait avoir transmis les clés de déchiffrement de plusieurs PC Windows dans le cadre d'une enquête du FBI. Une collaboration rendue possible grâce aux paramètres par défaut du logiciel de chiffrement BitLocker.