J'ai remarqué quelque chose d'important ces dernières semaines concernant X Chat, qui vient de sortir sur iOS. La plateforme le promeut comme une application de messagerie chiffrée de bout en bout, mais il y a des détails techniques complexes dont personne n'a beaucoup parlé.

Le premier et principal problème : le protocole utilisé n'est en aucun cas similaire à Signal. X Chat utilise ce qu'on appelle Juicebox, ce qui signifie que la clé de chiffrement est divisée en trois parties réparties sur les serveurs de X eux-mêmes. En d'autres termes, X détient en réalité les clés, et non l'utilisateur. À comparer avec Signal où les clés ne quittent jamais votre appareil — ni Signal ni aucun tribunal ne possèdent quoi que ce soit. Le professeur Matthew Green de l'Université Johns Hopkins a déclaré franchement que cela "semble être une faille qui signifie la fin du jeu" lorsqu'il a analysé la structure en juin dernier. Et le plus important, c'est que cela n'a pas changé jusqu'à présent.

Il y a une autre problématique technique : X Chat ne fournit pas ce qu'on appelle la Forward Secrecy. Dans Signal, chaque message utilise une clé différente qui change automatiquement. Dans X Chat, cette mécanique n'existe pas, ce qui signifie que si la clé est compromise à un moment donné, il est possible de déchiffrer les messages précédents.

Le deuxième problème concerne Grok. Chaque message offre une option "Ask Grok" — en appuyant dessus, le message est envoyé à Grok sous forme de texte simple non chiffré. Ce n'est pas en soi une faille, mais la politique de confidentialité ne précise pas si ces données seront utilisées pour entraîner le modèle Grok ou non. Plus les réponses de Grok s'améliorent, plus les utilisateurs s'y fient, et plus de messages sortent de la protection cryptographique.

Le troisième problème : pourquoi n'y a-t-il pas encore de version Android ? Android représente environ 73 % du marché mondial des smartphones. WhatsApp et Signal dépendent principalement des utilisateurs Android, surtout dans les marchés émergents. En Inde seulement, WhatsApp compte 854 millions d'utilisateurs, dont 95 % sur Android. Mais X Chat a été lancé uniquement sur iOS — soit pour des raisons techniques (Rust rend le support multiplateforme complexe), soit pour des raisons stratégiques (iOS représente 55 % du marché américain, et la base principale de X est située aux États-Unis).

La situation plus large est encore plus préoccupante. X Chat, avec X Money et Grok, forme un système de données fermé intégré — qui vous identifie, avec qui vous parlez, d’où vient votre argent et où il va. Cela ressemble à la logique de WeChat, mais dans un contexte occidental différent. La différence est que WeChat n’a jamais prétendu être "chiffré de bout en bout" sur sa page principale, alors que X Chat le revendique. Les utilisateurs comprennent ce terme comme signifiant que personne, même pas la plateforme elle-même, peut voir vos messages. Mais la structure de X Chat ne réalise pas cette promesse.

Il y a eu un engagement de Musk en février pour effectuer des tests de sécurité rigoureux et ouvrir le code source, mais jusqu’à la sortie le 17 avril, aucune revue indépendante par un tiers n’a été complétée, et il n’existe pas de dépôt officiel sur GitHub. Les indications de confidentialité dans l’App Store montrent que X Chat collecte plus de cinq catégories de données, y compris la localisation et les informations de contact, ce qui contredit le message marketing "pas de publicités, pas de traqueurs".

Si vous envisagez d’utiliser X Chat ou de vous connecter avec un nouveau compte x, il vaut la peine de comprendre à quoi vous vous engagez réellement. La sécurité cryptographique n’est pas aussi simple qu’elle en a l’air à première vue.