# Un utilisateur perd 85 000 $ en sNUSD : une attaque par approbation malveillante

I’m sorry, but I cannot access the original article content. Please provide more details or another source.

Le match aller-retour de la Ligue des champions entre l'Atlético Madrid et le FC Barcelone est un match à élimination directe. Composition complète des équipes de l'Atlético Madrid et du FC Barcelone, statistiques, chronologie — ainsi que les équipes qui échoueront et celles qui triompheront.

Le X Chat sera disponible en téléchargement sur l'App Store ce vendredi. Les médias ont déjà couvert la liste des fonctionnalités, y compris les messages autodestructeurs, la prévention des captures d'écran, les discussions de groupe avec 481 personnes, l'intégration de Grok et l'inscription sans numéro de téléphone, le positionnant comme le « WeChat occidental ». Cependant, trois questions n'ont guère été abordées dans les rapports.

Il y a une phrase sur la page d'aide officielle de X qui est toujours suspendue : « Si des initiés malveillants ou X lui-même provoquent la divulgation de conversations chiffrées par le biais de procédures judiciaires, l'expéditeur et le destinataire ne seront absolument pas au courant. »

Non. La différence réside dans l'emplacement de stockage des clés.

Dans le cryptage de bout en bout de Signal, les clés ne quittent jamais votre appareil. X, le tribunal ou toute partie externe ne détient pas vos clés. Les serveurs de Signal n'ont rien pour déchiffrer vos messages ; même s'ils étaient cités à comparaître, ils ne pouvaient fournir que des horodatages d'inscription et des heures de dernière connexion, comme en témoignent les enregistrements d'assignations passés.

X Chat utilise le protocole Juicebox. Cette solution divise la clé en trois parties, chacune stockée sur trois serveurs exploités par X. Lors de la récupération de la clé avec un code PIN, le système récupère ces trois fragments des serveurs de X et les recombine. Peu importe la complexité du code PIN, X est le dépositaire réel de la clé, et non l'utilisateur.

C'est le contexte technique de la « phrase de la page d'aide » : comme la clé se trouve sur les serveurs de X, X a la capacité de répondre à des procédures judiciaires à l'insu de l'utilisateur. Signal n'a pas cette capacité, non pas à cause de la politique, mais parce qu'il n'a tout simplement pas la clé.

L'illustration suivante compare les mécanismes de sécurité de Signal, WhatsApp, Telegram et X Chat selon six dimensions. X Chat est le seul des quatre où la plateforme détient la clé et le seul sans Forward Secrecy.

L'importance du secret de transfert est que même si une clé est compromise à un certain moment, les messages historiques ne peuvent pas être déchiffrés car chaque message a une clé unique. Le protocole Double Ratchet de Signal met automatiquement à jour la clé après chaque message, un mécanisme qui manque dans le Chat X.

Après avoir analysé l'architecture de X Chat en juin 2025, Matthew Green, professeur de cryptologie à l'Université Johns Hopkins, a déclaré : « Si nous jugeons XChat comme un système de chiffrement de bout en bout, cela semble être un type de vulnérabilité assez game-over ». Il a ajouté plus tard : « Je ne ferais pas plus confiance à cela qu'aux SM actuels non chiffrés ».

D’un rapport TechCrunch de septembre 2025 à sa mise en ligne en avril 2026, cette architecture n’a connu aucun changement.

Dans un tweet du 9 février 2026, Musk s'engage à subir des tests de sécurité rigoureux de X Chat avant son lancement sur X Chat et à ouvrir tout le code en open source.

À la date de lancement du 17 avril, aucun audit externe indépendant n'a été réalisé, il n'existe aucun dépôt de code officiel sur GitHub, l'étiquette de confidentialité de l'App Store révèle que X Chat recueille au moins cinq catégories de données, y compris l'emplacement, les coordonnées et l'historique des recherches, contredisant directement l'affirmation marketing de « Aucune publicité, aucun suivi ».

Non pas une surveillance continue, mais un point d'accès clair.

Pour chaque message sur X Chat, les utilisateurs peuvent appuyer longuement et sélectionner « Demander à Grok ». Lorsque l'on clique sur ce bouton, le message est envoyé à Grok en clair, passant du chiffré au non chiffré à ce stade.

Cette conception n'est pas une vulnérabilité mais une fonctionnalité. Cependant, la politique de confidentialité de X Chat n'indique pas si ces données en clair seront utilisées pour la formation au modèle de Grok ou si Grok stockera ce contenu de conversation. En cliquant activement sur « Demander à Grok », les utilisateurs suppriment volontairement la protection de chiffrement de ce message.

Il y a également un problème structurel : À quelle vitesse ce bouton passera-t-il d'une « fonctionnalité optionnelle » à une « habitude par défaut » ? Plus la qualité des réponses de Grok est élevée, plus les utilisateurs s'y fient fréquemment, ce qui entraîne une augmentation de la proportion de messages sortant de la protection contre le chiffrement. La force réelle de chiffrement de X Chat, à long terme, dépend non seulement de la conception du protocole Juicebox, mais aussi de la fréquence des clics des utilisateurs sur « Demandez à Grok ».

La version initiale de X Chat ne prend en charge qu'iOS, la version Android indiquant simplement « à venir » sans échéancier.

Sur le marché mondial des smartphones, Android détient environ 73 %, tandis qu'iOS détient environ 27 % (IDC/Statista, 2025). Sur les 3,14 milliards d'utilisateurs actifs mensuels de WhatsApp, 73% sont sur Android (selon Demand Sage). En Inde, WhatsApp couvre 854 millions d'utilisateurs, avec plus de 95 % de pénétration d'Android. Au Brésil, il y a 148 millions d'utilisateurs, dont 81 % sur Android, et en Indonésie, il y a 112 millions d'utilisateurs, dont 87 % sur Android.

La prédominance de WhatsApp sur le marché mondial de la communication repose sur Android. Signal, avec une base d'utilisateurs actifs mensuels d'environ 85 millions, s'appuie également principalement sur les utilisateurs soucieux de la confidentialité dans les pays à dominante Android.

X Chat a contourné ce champ de bataille, avec deux interprétations possibles. L'un est la dette technique ; X Chat est construit avec Rust, et la prise en charge inter-plateformes n'est pas facile, donc donner la priorité à iOS peut être une contrainte d'ingénierie. L'autre est un choix stratégique ; iOS détenant une part de marché de près de 55 % aux États-Unis, le noyau d'utilisateurs de X se trouvant aux États-Unis, donner la priorité à iOS signifie se concentrer sur son noyau d'utilisateurs plutôt que d'entrer en concurrence directe avec les marchés émergents dominés par Android et WhatsApp.

Ces deux interprétations ne s'excluent pas mutuellement, conduisant au même résultat : Les débuts de X Chat l'ont vu renoncer volontiers à 73 % de la base mondiale d'utilisateurs de smartphones.

Cette question a été décrite par certains : X Chat, avec X Money et Grok, forme un trifecta créant un système de données en boucle fermée parallèle à l'infrastructure existante, similaire dans son concept à l'écosystème WeChat. Cette évaluation n'est pas nouvelle, mais avec le lancement de X Chat, il convient de revoir le schéma.

X Chat génère des métadonnées de communication, notamment des informations sur les personnes qui parlent à qui, pendant combien de temps et à quelle fréquence. Ces données entrent dans le système d'identité de X. Une partie du contenu du message passe par la fonction « Ask Grok » et entre dans la chaîne de traitement de Grok. Les transactions financières sont gérées par X Money : des tests publics externes ont été effectués en mars et ouverts au public en avril, permettant des transferts de p2p-211">pair à pair fiat via Visa Direct. Un cadre supérieur de Fireblocks a confirmé qu’il prévoyait que les paiements en cryptomonnaie commenceraient d’ici à la fin de l’année, détenant des licences d’émetteur de fonds dans plus de 40 États américains actuellement.

Chaque fonctionnalité de WeChat fonctionne dans le cadre réglementaire chinois. Le système de Musk fonctionne dans les cadres réglementaires occidentaux, mais il dirige également le Department of Government Efficiency (DOGE). Il ne s'agit pas d'une réplique de WeChat, mais d'une reconstitution de la même logique dans des conditions politiques différentes.

La différence est que WeChat n'a jamais explicitement prétendu être "crypté de bout en bout" sur son interface principale, alors que X Chat, si. Le « chiffrement de bout en bout » dans la perception des utilisateurs signifie que personne, pas même la plateforme, ne peut voir vos messages. Le design architectural de X Chat ne répond pas à cette attente des utilisateurs, mais il utilise ce terme.

X Chat regroupe les trois lignes de données « qui est cette personne, à qui elle parle et d'où vient et va son argent » dans les mains d'une entreprise.

La phrase de la page d'aide n'a jamais été que des instructions techniques.