Pavel Durov et son application de messagerie « privée » ont un tout nouveau concurrent, et il s’agit, roulement de tambour, d’Elon Musk et de son application XChat. Sur notre blog, nous avons déjà expliqué à plusieurs reprises pourquoi les arguments avancés par Pavel Durov concernant la confidentialité et la sécurité de Telegram sont, pour le moins, exagérés. Je tiens ici à rappeler à nos lecteurs que les discussions standard (non secrètes) sur Telegram ne sont pas protégées par un chiffrement de bout en bout, pourtant indispensable pour garantir la confidentialité des données des utilisateurs.
Mais revenons-en à Elon Musk. Fin avril 2026, l’application XChat a été lancée pour les utilisateurs d’iOS. Le magnat de la tech vantait les mérites de son application de messagerie depuis longtemps, la présentant dès le premier jour comme un moyen de communication extrêmement confidentiel et sécurisé, et comme une menace directe pour Signal, WhatsApp, Telegram et iMessage.
Aujourd’hui, nous allons examiner s’il faut vraiment croire aux promesses avancées par Elon Musk concernant ce nouveau service, passer en revue ses principales fonctionnalités et le comparer à la concurrence. Chiffrement de type Bitcoin Elon Musk a donné un premier aperçu de son projet XChat le 1ᵉʳ juin 2025, bien entendu via son compte X (anciennement Twitter). Répondant à la question d’un autre utilisateur sur l’arrivée du nouveau service, Elon Musk a déclaré : « Cette semaine, si nous ne rencontrons pas de difficultés de mise à l’échelle ».
Il semble qu’il y ait eu des problèmes de mise à l’échelle : la version bêta de l’application n’a été lancée qu’en septembre 2025, et les utilisateurs d’iOS n’ont obtenu un accès complet qu’en avril 2026. Pour ce qui est d’Android, on ne dispose d’aucune information concernant la date de sortie de cette version au moment où nous écrivons ces lignes. Cela dit, une page XChat est déjà en ligne sur Google Play, où les utilisateurs peuvent effectuer une » préinscription « , quelle qu’en soit la signification.
Mais revenons au message d’Elon Musk annonçant XChat. Ce message a fait beaucoup de bruit dans le milieu de la protection de la vie privée et de la cybersécurité, et voici pourquoi : le magnat de la tech a écrit que le service serait construit sur une » architecture entièrement nouvelle « , développée en Rust, et dotée d’un » chiffrement de type Bitcoin « . Elon Musk annonce le lancement de la messagerie XChat, affirmant que cette nouvelle application de messagerie est écrite en Rust et utilise un « chiffrement de type Bitcoin ».
Source Les experts se sont longtemps creusé la tête pour essayer de comprendre ce qu’Elon Musk voulait vraiment dire. Après tout, le Bitcoin n’est pas un système d’échange de données anonyme et chiffré. La blockchain utilise effectivement des clés cryptographiques publiques et privées, mais dans un tout autre but : la signature des transactions.
Pour autant, ces transactions ne sont pas à l’abri des regards indiscrets ; elles sont accessibles à tous, pour toujours. En bref, le Bitcoin protège ses utilisateurs non pas en garantissant la confidentialité, mais bien au contraire, grâce à une transparence totale. Il est fort probable qu’Elon Musk ait utilisé le concept de « chiffrement de type Bitcoin » comme un simple coup marketing.
Au moment de son annonce, le Bitcoin se négociait à un niveau proche de son plus haut historique, et les cryptomonnaies faisaient beaucoup parler d’elles. Techniquement, la version bêta de XChat sortie en septembre 2025 protégeait les conversations des utilisateurs grâce à « une sorte » de chiffrement de bout en bout, mais sa mise en œuvre soulevait de sérieux doutes parmi les experts en cryptographie. Et ce n’est pas sans raison.
En règle générale, configurer une conversation chiffrée de bout en bout génère automatiquement une biclé composée de clés publiques et privées. La clé publique sert à chiffrer les messages, tandis que la clé privée permet de les déchiffrer. Comme les autres utilisateurs ont besoin de votre clé publique pour entamer une conversation sécurisée avec vous, ces clés sont généralement stockées sur les serveurs de l’application.
La clé privée, en revanche, ne devrait idéalement se trouver que sur l’appareil de l’utilisateur, ce qui est exactement le cas avec Signal. Ce système constitue une garantie simple et absolue que ni l’entreprise elle-même ni aucun tiers violant son infrastructure ne peut accéder aux conversations des utilisateurs, même s’il le souhaitait vraiment. Cependant, les projets d’Elon Musk suivent toujours leur propre chemin : les développeurs de XChat ont jugé que ce serait une excellente idée de stocker les clés privées des utilisateurs sur les serveurs de la messagerie.
X affirme avoir recours à des modules de sécurité matériels (HSM) pour stocker ces clés privées. Il s’agit de dispositifs spécialement conçus pour empêcher même le propriétaire du système d’accéder facilement aux données qu’ils contiennent. Cependant, les experts remettent également en question la fiabilité de cette configuration et parviennent à une conclusion inquiétante : si X souhaite réellement mettre la main sur la clé privée d’un utilisateur, elle y parviendra très probablement.
Comment fonctionne concrètement la messagerie chiffrée dans XChat Finalement, une fois les problèmes de mise à l’échelle résolus près d’un an après l’annonce, X a officiellement lancé l’application XChat pour iOS en avril 2026. Tout le monde peut désormais l’utiliser, mais d’un point de vue pratique, la gestion des conversations chiffrées semble encore plus compliquée que sur Telegram. Selon le centre d’aide du réseau social, pour utiliser le chiffrement de bout en bout dans XChat, les deux utilisateurs doivent disposer d’un compte X, configurer XChat et être connectés d’une manière ou d’une autre : S’abonner l’un à l’autre ou se suivre mutuellement Avoir avoir déjà échangé des messages Avoir accepté une demande de message privé auparavant Être membre du même abonnement Premium Business / Premium Organisation sur X Même si les utilisateurs ne s’abonnent pas l’un à l’autre et n’ont jamais interagi auparavant, XChat peut tout de même leur permettre d’envoyer une demande de message.
Cependant, cette requête initiale est envoyée sans chiffrement de bout en bout. Une fois encore, voici comment ce processus est décrit dans la documentation d’aide officielle de l’application de messagerie. Cela vous semble trop compliqué ?
Je tiens à vous rassurer : dans les faits, cela se passe de façon complètement différente… ou plutôt, cela ne se passe pas ainsi du tout. J’ai personnellement réussi à envoyer un message à un autre utilisateur qui n’avait PAS installé XChat. L’application elle-même, bien sûr, ne m’a donné absolument aucun avertissement à ce sujet.
L’application permet d’entamer une conversation avec un utilisateur qui n’a même pas encore installé XChat, sans que l’expéditeur n’en soit prévenu pour autant. Et ce n’est pas tout. L’utilisateur à qui j’ai envoyé un message a reçu une notification à ce sujet sur la version Web de X, mais n’a pas pu accéder au message.
Voici le hic : pour commencer à utiliser XChat, l’utilisateur doit d’abord créer un code PIN à quatre chiffres. Pourtant, l’application demande ce code PIN dès la toute première fois que l’utilisateur tente de l’ouvrir, c’est-à-dire avant même qu’il ait eu l’occasion d’en créer un. En plus de cette invite, l’utilisateur voit également s’afficher un avertissement indiquant que, sans le code PIN, il ne pourra pas consulter les anciennes conversations chiffrées.
L’utilisateur est invité à saisir un code PIN pour déchiffrer les messages antérieurs avant même d’avoir terminé la configuration initiale de XChat. La seule solution que j’ai trouvée pour pouvoir enfin utiliser XChat consiste à cliquer sur » Code PIN oublié ? » (même si ce code n’a jamais existé). Il faut ensuite confirmer son identité et créer un autre code PIN (enfin, le premier).
Évidemment, vous perdrez ainsi l’accès à votre historique de discussion et ne pourrez donc pas lire les messages qui vous ont été envoyés dans XChat avant d’avoir officiellement configuré l’application. XChat : le nouveau Telegram, WhatsApp, Signal… ou Facebook Messenger ? Toutes ces contraintes liées au code PIN ont en fait une raison d’être.
Rappelons que, contrairement à WhatsApp et Signal, les développeurs de XChat ont choisi de stocker les clés privées des utilisateurs sur leurs propres serveurs. L’application utilise donc ces codes PIN à quatre chiffres pour chiffrer les clés. Selon la documentation d’aide de XChat, ce mécanisme a été conçu pour garantir une expérience multi-appareils « harmonieuse ».
On ne peut s’empêcher de souligner que WhatsApp et Signal y sont parvenus sans avoir recours à des solutions de contournement complexes, telles que l’obligation d’utiliser un code PIN ou le stockage des clés privées sur le serveur. Le problème, c’est que ce genre de solutions de contournement remet en cause toute revendication de confidentialité et de sécurité de l’application. Avant tout, un code PIN n’est pas vraiment le moyen le plus sûr de protéger des données sensibles.
Nous l’avons déjà souligné à maintes reprises : les combinaisons à quatre chiffres sont faciles à deviner par force brute, d’autant plus que XChat vous accorde pas moins de 20 tentatives pour trouver le bon code. L’application autorise jusqu’à 20 tentatives pour saisir le code PIN à quatre chiffres. Une fois la limite atteinte, XChat vous avertit que l’accès aux messages sera définitivement perdu.
Si l’on fait abstraction de la mise en œuvre pour le moins étrange du chiffrement de bout en bout par rapport à d’autres applications de messagerie, il est difficile de ne pas ressentir ce sentiment général d’inutilité lié à l’utilisation de XChat. Comme l’a justement souligné un journaliste de Wired, cette application ressemble moins à une cousine de WhatsApp, Signal ou Telegram qu’à Facebook Messenger. Sauf que les gens ouvrent généralement Messenger pour lire un message de leur mère ou de leur grand-mère, alors que XChat semble plutôt destiné à ceux qui veulent prendre des nouvelles de ce mystérieux neveu qui passe tout son temps libre sur X, croit encore à la promesse de John McAfee de gagner 500 000 dollars en bitcoins et est fan d’Elon Musk.
Alors, quel est le verdict sur la messagerie XChat ? La meilleure façon de conclure cet article est de citer un expert en cybersécurité : « Si vous voulez une bonne sécurité, utilisez Signal. Si vous souhaitez pouvoir échanger des messages chiffrés avec pratiquement n’importe qui, utilisez WhatsApp. Si toute votre vie tourne autour de X, je suppose que c’est mieux que rien. » Si vous utilisez XChat, la règle numéro un est d’éviter de choisir un code PIN facile à deviner : n’utilisez surtout pas votre année de naissance ni, pire encore, la combinaison « 1234 ».
Il est également essentiel de ne pas oublier ce code, car si vous le perdez, tout votre historique de discussion sera définitivement perdu. Enfin, tout comme pour vos autres mots de passe, vous ne devriez pas le conserver dans votre application de notes, mais plutôt dans un gestionnaire de mots de passe sécurisé. Cela vous évitera non seulement d’avoir à mémoriser des dizaines de combinaisons de caractères, mais réduira également le risque de perdre l’accès à vos données et conversations importantes.
Pour en savoir plus sur les messageries sécurisées des autres applications, consultez nos différents articles : 12 conseils pour utiliser WhatsApp, Telegram… Qu’est-ce qui rend une application de messagerie sûre ? Confidentialité des applications de messagerie : classement 2025 Chatter hors ligne : aperçu des applications de messagerie en réseau maillé Piratage de compte WhatsApp et Telegram : comment se protéger des escroqueries