Le réseau social X lance XChat, une nouvelle messagerie instantanée qui propose de nombreuses fonctions et un chiffrement de bout en bout. Enfin, en théorie, car cette promesse de sécurité soulève quelques doutes…

Si vous utilisez X, le réseau social d'Elon Musk, vous avez peut-être remarqué un petit changement : votre onglet "messages privés" a été remplacé par un nouveau baptisé "Chat", qui permet d'accéder à un service du nom de XChat. En déploiement progressif en phase bêta depuis juin dernier – mais uniquement pour un nombre restreint d'utilisateurs –, il s'agit d'un nouveau système de messagerie totalement différent du précédent, censé être chiffré de bout en bout. Cependant, des experts en sécurité émettent déjà des réserves sur sa robustesse.

XChat : une messagerie complète et sans publicité

XChat est une application totalement nouvelle qui remplace l'ancienne fonction. Comme le précédent système, XChat permet d'envoyer du texte et des images, mais aussi de passer des appels audio et vidéo directement depuis X.com. Les utilisateurs peuvent également modifier ou supprimer leurs messages, envoyer des fichiers, partager des images et même, bientôt, des notes vocales. Cerise sur le gâteau : la nouvelle messagerie permet l'envoi de messages éphémères, qui disparaissent automatiquement après une durée définie.

XChat offre aux utilisateurs un contrôle plus poussé de la confidentialité. Ainsi, ils peuvent être notifiés lorsque des captures d'écran de la conversation sont prises, et même les bloquer totalement. Le réseau social met l'accent sur le fait que cet espace ne comporte aucune publicité ni suivi. Enfin, pour l'activer, il faut obligatoirement définir un code PIN à quatre chiffres, qui est utilisé pour conserver la clé privée stockée sur les serveurs de X.

Il semblerait toutefois que, pour l'instant, il y ait encore quelques problèmes techniques. De nombreux utilisateurs ont rapporté des messages d'erreur, des onglets "Chat" apparaissant en doublon, des ralentissements, des difficultés pour changer les noms des conversations ou ajouter des participants, ou encore des conversations s'affichant sous forme de liens cassés. Tout cela devrait être réglé dans les prochains jours – du moins, on espère.

XChat : une messagerie chiffrée de bout en bout, ou presque

Mais le principal argument de XChat repose sur le chiffrement des messages, qui rend donc les échanges beaucoup plus sécurisés. En effet, les anciens messages privés de X reposaient sur une architecture datée, limitée et non chiffrée. Cette fois, XChat est censé être chiffré de bout en bout, ce qui fait que personne ne pourra plus accéder aux contenus des messages en dehors des participants. Mais le manque de transparence technique soulève la méfiance.

Lors du début de son déploiement en juin, Elon Musk avait indiqué que XChat "est développé avec Rust avec un chiffrement (de type Bitcoin), une toute nouvelle architecture". Une déclaration qui avait inquiété certains spécialistes, qui n'avaient pas tardé à la remettre en question (voir notre article). Depuis, plusieurs experts indépendants ont estimé que l'entreprise n'a toujours pas apporté la preuve technique que les clés de chiffrement sont bien stockées dans des modules matériels sécurisés. La question du fameux code à quatre chiffres demandé lors de la première utilisation de XChat fait également débat. Certains estiment que sa faible complexité le rend forcément vulnérable à des attaques de type force brute, à moins que X n'ait mis en place des protections supplémentaires non spécifiées.

Et ce n'est pas la page d'aide qui va nous rassurer ! Cette dernière indique que "actuellement, nous n'offrons pas de protection contre les attaques de type man-in-the-middle'". L'entreprise ajoute même que, "par conséquent, si quelqu'un – un initié malveillant ou X lui-même à la suite d'un processus juridique obligatoire – compromettait une conversation chiffrée, ni l'expéditeur ni le destinataire ne le sauraient". Elle reconnaît également que certaines données, à l'instar des métadonnées, ne sont pas protégées. Pire encore : "si la clé privée d'un appareil est compromise, un pirate pourrait déchiffrer tous les messages directs chiffrés qui ont été envoyés et reçus par cet appareil". C'est pourquoi le réseau social assure travailler sur une solution "permettant la rotation des clés privées afin d'offrir une certaine sécurité à l'avenir".

Reste à savoir si, à terme, Elon Musk prévoit de lancer Chat en dehors de son réseau social afin de réellement concurrencer WhatsApp, Messenger, Telegram et compagnie étant donné que, techniquement, XChat repose sur des principes similaires. D'autant plus qu'il s'agit d'une étape importante pour faire de X.com une super-application, ce qui est le but ultime du milliardaire.