X a lancé vendredi sa nouvelle plateforme « Chat », remplaçant ses messages directs de longue date par une multitude de nouvelles fonctionnalités. La mise à jour, déployée sur iOS et sur le Web, ajoute les appels vocaux et vidéo, l’édition de messages et le cryptage de bout en bout.
Cette décision est un élément clé de la volonté d’Elon Musk de créer une « application pour tout ». Cependant, la sécurité de la plateforme comporte des mises en garde majeures. X admet ouvertement que le système ne protège pas contre les attaques de type « homme du milieu », ce qui signifie que l’entreprise ou un tiers pourrait intercepter les discussions à l’insu des utilisateurs.
Le service laisse également les métadonnées sensibles, comme les participants et les heures de conversation, complètement non cryptées, soulevant d’importantes questions de confidentialité dès ses débuts.
Un ensemble de fonctionnalités modernes avec un atout majeur
Déployée maintenant sur iOS et sur le Web, la nouvelle interface « Chat » introduit une suite de fonctionnalités tant attendues destinées à aligner les capacités de messagerie de X sur celles de concurrents comme WhatsApp et Signal.
Les utilisateurs peuvent désormais passer des appels vocaux et vidéo, partager des fichiers et rappeler ou modifier des messages après leur envoi. Une version Android serait « bientôt disponible », selon la société.
Au cœur de la mise à niveau se trouve la promesse d’un cryptage de bout en bout (E2EE). X a étendu cette couche de sécurité pour couvrir les messages de groupe et les médias, une amélioration par rapport à une version plus limitée de la fonctionnalité qui a été brièvement testée puis suspendue en mai 2025.
🔒 @Chat vous n’êtes pas cuit
une toute nouvelle messagerie sécurisée est arrivéepic.twitter.com/FfD3tDWchB
— X (@X) 14 novembre 2025
Sur le papier, cela positionne Chat comme une alternative plus sécurisée aux anciens DM de la plateforme. Pourtant, les détails de mise en œuvre, trouvés dans les propres documents d’aide de l’entreprise, révèlent une réalité bien plus compliquée et inquiétante en matière de confidentialité des utilisateurs.
« Théâtre du cryptage » : les experts mettent en garde contre des failles de sécurité critiques
Sous la surface de ces mises à jour conviviales se cache une série d’aveux flagrants en matière de sécurité de la part de X lui-même. Dans sa documentation d’aide officielle, la société fait une divulgation critique sur la vulnérabilité du système.”Actuellement, nous n’offrons pas de protection contre les attaques de l’homme du milieu.”Cette faiblesse, connue sous le nom d’attaque de l’homme du milieu (MITM), permettrait à un tiers – ou à X lui-même – de se positionner entre les utilisateurs et d’intercepter, de lire ou de modifier les messages sans détection.
X développe cette profonde faille de sécurité en déclarant: « Si quelqu’un – un interne malveillant ou X lui-même à la suite d’une procédure judiciaire obligatoire – devait compromettre une conversation cryptée, ni l’expéditeur ni le destinataire ne le sauraient. »
Le système manque également « Forward Secrecy », une fonctionnalité cruciale qui garantit qu’une clé de cryptage compromise ne peut pas être utilisée pour déchiffrer des messages passés ou futurs. Sans cela, une seule faille de sécurité pourrait exposer rétroactivement l’intégralité de l’historique des conversations d’un utilisateur.
Pour les défenseurs de la vie privée, l’aspect le plus alarmant n’est pas seulement ce qui est crypté, mais ce qui est délibérément laissé exposé. Selon X,”Il est important de noter que même si le contenu du message lui-même est crypté, les métadonnées associées (par exemple, le destinataire, l’heure de création, etc.) ne le sont pas.”
Cela signifie que même si le contenu d’un message peut être sécurisé, les informations hautement sensibles indiquant qui parle à qui et quand, restent accessibles à l’entreprise.
Ces lacunes ont conduit les chercheurs en sécurité à qualifier la mise en œuvre de ‘théâtre de cryptage’. Les critiques opposent l’approche source fermée de X au protocole Signal ouvert, transparent et audité de manière indépendante, qui alimente le cryptage d’applications comme Signal et WhatsApp.
Bien que ces problèmes apparaissent avec le déploiement actuel, ils ne sont pas nouveaux ; les experts ont soulevé des préoccupations identiques concernant le stockage des clés côté serveur de X et le manque de protection MITM lors de tests précédents à plus petite échelle.
L’intégration de Grok et un contexte d’instabilité
L’intégration de Grok, le chatbot IA de Musk, ajoute une autre couche de complexité. Les utilisateurs peuvent demander à Grok d’analyser une image ou un message à partir d’une discussion, mais cela annule effectivement ses protections de confidentialité.
La documentation de X indique clairement :”Notez qu’une fois que vous envoyez à Grok, cette image ou ce texte n’est plus crypté (le contenu de la conversation d’origine est toujours crypté).”Cela crée une voie directe pour que les conversations prétendument privées soient traitées par les serveurs de X, un compromis important en matière de confidentialité pour plus de commodité. Ceci est particulièrement remarquable étant donné que les algorithmes et les outils d’IA de X pourraient être façonnés par les préférences idéologiques personnelles de Musk.
En fin de compte, X offre un ensemble de fonctionnalités que les utilisateurs réclament depuis longtemps. Mais en l’accompagnant de failles de sécurité connues publiquement depuis des mois, l’entreprise fait une déclaration claire sur ses priorités.
La nouvelle plateforme de chat offre des commodités modernes mais est loin des normes de confidentialité établies par ses pairs, obligeant les utilisateurs à décider si des fonctionnalités telles que les appels vidéo valent le risque d’une conversation qui n’est pas vraiment privée.
