Retour au Blog
vie privéesécuritéchiffrementvérificationopen sourceaudits de sécurité

On vous a menti : Comment repérer les applis "privées" qui sont bidons

Snugg Team|11 janvier 2026|10 min de lecture
On vous a menti : Comment repérer les applis "privées" qui sont bidons


Le mensonge que j'ai cru pendant trois ans

En 2020, je suis passé à Zoom pour le travail parce qu'ils affirmaient avoir un "chiffrement de bout en bout".

Je les ai crus.

J'avais des appels sensibles avec des clients sur Zoom. Des réunions de conseil d'administration. Des discussions confidentielles. Tout "chiffré", non ?

Faux.

Des chercheurs en sécurité ont lu le code de Zoom et ont prouvé qu'ils mentaient. Zoom pouvait tout voir et entendre.

Zoom s'est excusé (plus ou moins), a changé son marketing et a continué. Mais voici ce qui m'a vraiment dérangé :

Je n'avais aucun moyen de savoir qu'ils mentaient jusqu'à ce que quelqu'un d'autre les attrape.

Et c'est là que j'ai réalisé : J'ai fait confiance à des entreprises qui me mentaient en face, et je n'avais aucune idée de comment faire la différence.

Ça vous dit quelque chose ?

Toutes les applis prétendent être "privées"

Ouvrez n'importe quel site web d'appli. Que disent-ils ?

  • "Chiffrement de qualité militaire"

  • "Sécurité de niveau bancaire"

  • "Nous prenons la vie privée au sérieux"

  • "Vos données sont protégées"

  • "Chiffrement de bout en bout"


Voici le problème : Tout le monde dit ça. Même les applis qui mentent.

Les menteurs

Zoom : Disait "chiffrement de bout en bout" → Les chercheurs ont prouvé que c'était faux

TikTok : Disait ne pas partager de données avec la Chine → Ils le faisaient

Telegram : Dit "sécurité de qualité militaire" → Les experts en sécurité ne sont pas d'accord

LinkedIn : Disait ne pas entraîner l'IA avec vos données → Ils le font

Facebook : Dit qu'ils se soucient de la vie privée → LOL

Le schéma ? Les affirmations marketing ne veulent rien dire.

Les mots ne coûtent rien. Les preuves sont tout.

Vous n'avez pas besoin d'être un expert technique

Voici ce que j'ai appris après l'incident Zoom :

Vous n'avez pas besoin de comprendre le chiffrement pour repérer les menteurs.

Vous devez juste savoir quelles questions poser.

Pensez-y comme acheter une voiture d'occasion :

  • Vous n'avez pas besoin d'être mécanicien

  • Mais vous devriez savoir vérifier si le compteur a été trafiqué

  • Et si les papiers sont en règle

  • Et s'il y a un historique d'entretien


C'est pareil pour les affirmations de vie privée. Vous n'avez pas besoin d'être cryptographe—vous devez juste connaître les signaux d'alarme.

Laissez-moi vous montrer.

Signal d'alarme #1 : Termes marketing vagues

"Chiffrement de qualité militaire"

Ce qu'ils veulent que vous pensiez : "Wow, l'armée utilise ça. Ça doit être super sécurisé !"

Ce que ça signifie vraiment : Rien de spécifique.

L'armée utilise différentes normes de chiffrement. Certaines excellentes, certaines obsolètes, certaines classifiées. "Qualité militaire" ne vous dit pas laquelle.

En vrai : Quand quelqu'un dit "qualité militaire" mais ne vous dit pas l'algorithme réel (comme "AES-256" ou "ChaCha20"), ils racontent n'importe quoi.

"Sécurité de niveau bancaire"

Ce qu'ils veulent que vous pensiez : "Les banques sont sécurisées, donc ça doit être sécurisé !"

Ce que ça signifie vraiment : Aussi sans signification.

Certaines banques utilisent encore des codes SMS (super non sécurisés). Certaines utilisent des tokens matériels (sécurisés). "Niveau bancaire" pourrait signifier l'un ou l'autre.

En vrai : Les banques se font pirater tout le temps. Ce n'est pas le flex qu'ils pensent.

"Nous prenons la vie privée au sérieux"

Ce qu'ils veulent que vous pensiez : "Ils se soucient de ma vie privée !"

Ce que ça signifie vraiment : Littéralement rien.

Toutes les plateformes disent ça. Même Facebook dit ça.

Meta a gagné 110 milliards de dollars l'année dernière avec la publicité. Cet argent vient de la violation de votre vie privée. Mais ils disent quand même qu'ils "la prennent au sérieux".

En vrai : S'ils n'expliquent pas COMMENT ils protègent la vie privée avec des détails techniques spécifiques, ils ne font que parler.

Signal d'alarme #2 : "Chiffré" sans dire "de bout en bout"

Celui-ci est énorme.

Il y a trois types de chiffrement :

1. Chiffrement de transport (HTTPS)

  • Protège les données pendant qu'elles voyagent vers leurs serveurs
  • L'entreprise peut toujours tout lire
  • Tous les sites web ont ça (même les sites d'arnaque)

2. Chiffrement au repos

  • Les données sont chiffrées quand elles sont stockées sur leurs serveurs
  • L'entreprise peut toujours les déchiffrer et les lire
  • Protège juste contre les hackers

3. Chiffrement de bout en bout (E2E)

  • Seuls vous et le destinataire pouvez le lire
  • L'entreprise NE PEUT PAS le lire (mathématiquement impossible)
  • C'est le seul qui protège vraiment la vie privée
Voici l'astuce que les plateformes utilisent :

Ils disent "Nous chiffrons vos données" (techniquement vrai—HTTPS)
Mais ils ne disent pas "Nous NE POUVONS PAS lire vos données" (parce qu'ils le peuvent)

Exemples réels :

  • Discord : Dit "chiffré" → Ils peuvent tout lire

  • Telegram : Dit "chiffré" → Les chats normaux ne sont pas E2E

  • Facebook Messenger : Dit "chiffré" → Les chats par défaut ne sont pas E2E

  • Signal : Dit "chiffrement de bout en bout" → Ils ne peuvent vraiment pas lire vos messages

  • WhatsApp : Dit "chiffrement de bout en bout" → Le contenu du message est protégé (mais Meta collecte toutes les métadonnées)


La question à poser : "Est-ce chiffré de bout en bout, ou l'entreprise peut-elle lire mes données ?"

Signal d'alarme #3 : Chiffrement personnalisé

Les experts professionnels en sécurité ont un dicton :

"N'importe qui peut créer un chiffrement si fort qu'IL ne peut pas le casser. L'astuce est de créer un chiffrement si fort que PERSONNE D'AUTRE ne peut le casser non plus."

Traduction : N'inventez pas votre propre chiffrement. Utilisez ce que les experts ont testé.

Algorithmes de chiffrement standard (utilisés par les vraies applis sécurisées) :

  • AES-256

  • ChaCha20

  • Curve25519

  • RSA-4096


Ceux-ci ont été testés par des milliers d'experts pendant des décennies. Nous savons qu'ils fonctionnent.

Chiffrement personnalisé = Signal d'alarme

Pourquoi ? Parce que l'entreprise est soit :
1. Arrogante (pense être plus intelligente que tous les cryptographes du monde)
2. Incompétente (ne comprend pas pourquoi c'est dangereux)
3. Menteuse (le chiffrement personnalisé est plus facile à backdoorer)

Exemple réel : Telegram

Utilise un chiffrement personnalisé appelé "MTProto". Les experts en sécurité ont trouvé plusieurs problèmes avec.

Pendant ce temps, Signal utilise des algorithmes standard auxquels tous les experts font confiance.

Auquel feriez-vous confiance ?

Signal vert #1 : Code open source

C'est la plus grande différence entre les applis fiables et louches.

Code fermé : "Faites-nous confiance, c'est sécurisé"
Open source : "Voici notre code. Vérifiez vous-même."

Pourquoi c'est important

Vous vous souvenez du mensonge de Zoom sur le chiffrement ? Les chercheurs en sécurité ne l'ont découvert que parce qu'ils ont fait de l'ingénierie inverse sur le code de Zoom.

Si Zoom avait été open source, le mensonge aurait été attrapé immédiatement.

Exemples réels :

  • Signal : Entièrement open source sur GitHub → N'importe qui peut vérifier leurs affirmations

  • WhatsApp : Code fermé → Vous devez faire confiance à Meta (lol)

  • Snugg : Sera entièrement open source au lancement → Vérifiez tout vous-même


Le test : Allez sur leur site web. Cherchez un lien "GitHub" ou "Open Source".

S'ils prétendent être privés mais ne vous montrent pas le code, c'est super suspect.

Signal vert #2 : Audits de sécurité indépendants

Les plateformes fiables paient des entreprises de sécurité externes pour auditer leur code et publier les résultats.

Ce qu'il faut chercher :

  • Audit d'une vraie firme (Trail of Bits, Cure53, NCC Group)

  • L'audit est récent (moins de 2 ans)

  • L'audit est public (vous pouvez le lire)

  • Ils ont corrigé les problèmes trouvés


Signaux d'alarme :
  • "Nous avons été audités" mais ne publient pas le rapport

  • L'audit a plus de 5 ans

  • Ne peuvent pas nommer la firme d'audit

  • "Aucun problème trouvé" (tout vrai audit trouve quelque chose)


Exemples réels :
  • Signal : Multiples audits publics, tous publiés, problèmes corrigés

  • Telegram : Offre des récompenses mais pas d'audits publics complets

  • Snugg : Audit prévu avec Trail of Bits avant le lancement


Le test : Cherchez "[Nom de l'appli] security audit" et voyez si vous pouvez vraiment le lire.

Signal vert #3 : Ils sont honnêtes sur les limitations

Signal d'alarme : "Nous sommes 100% sécurisés contre tout !"
Signal vert : "Voici ce que nous protégeons ET ce que nous ne protégeons pas."

Aucune sécurité n'est parfaite. Les entreprises honnêtes l'admettent.

Exemple : L'honnêteté de Signal

Ce que Signal protège :

  • Contenu des messages (chiffré)

  • Appels (chiffrés)

  • Certaines métadonnées (sealed sender)


Ce que Signal NE protège PAS :
  • Votre téléphone si quelqu'un le vole

  • Les captures d'écran

  • Si vous transférez des messages à quelqu'un d'autre


Ils sont directs là-dessus. C'est fiable.

Comparez aux applis louches :

"Sécurité de qualité militaire !" (Ça veut dire quoi ?)
"100% sécurisé !" (Impossible)
"Vie privée complète !" (Ça ne marche pas comme ça)

Le test : Expliquent-ils les limitations, ou promettent-ils la perfection ?

La checklist de vérification simple

Vous n'avez pas besoin de comprendre le code. Posez juste ces questions :

1. Le code est-il public ?

  • Allez sur leur site web
  • Cherchez un lien "GitHub" ou "Open Source"
  • S'ils prétendent être privés mais ne montrent pas le code → suspect

2. A-t-il été audité ?

  • Cherchez sur Google "[Nom de l'appli] security audit"
  • Pouvez-vous vraiment lire le rapport d'audit ?
  • Si l'audit est secret ou n'existe pas → suspect

3. Est-ce du chiffrement de bout en bout ?

  • Ça dit spécifiquement "de bout en bout" ?
  • Ou juste "chiffré" (ce qui ne veut rien dire) ?
  • Si c'est vague sur l'E2E → suspect

4. Quel chiffrement utilisent-ils ?

  • Nomment-ils des algorithmes spécifiques ?
  • Ou disent-ils juste "qualité militaire" ?
  • S'ils ne nomment pas l'algorithme → suspect

5. Les experts en sécurité lui font-ils confiance ?

  • Cherchez des avis sur Reddit r/privacy
  • Regardez les discussions sur HackerNews
  • Si les experts sont sceptiques → suspect

6. Comment gagnent-ils de l'argent ?

  • Abonnement ? (Bien—incitations alignées)
  • Publicité ? (Mal—ils ont besoin de vos données)
  • "Gratuit" sans explication ? (Très mal—ils vendent vos données)
  • Si le modèle économique dépend des données → pas fiable
Score :
  • 5-6 oui : Probablement fiable (vérifiez quand même vous-même)
  • 3-4 oui : Procédez avec une extrême prudence
  • 0-2 oui : Ne faites pas confiance à cette appli

Exemples réels : Vérifions quelques applis

Signal — FIABLE

1. Open source ? Oui (github.com/signalapp)
2. Audité ? Multiples audits publics
3. E2E chiffré ? Oui, tout
4. Chiffrement spécifique ? Signal Protocol, entièrement documenté
5. Les experts font confiance ? Oui, universellement
6. Modèle économique ? Dons sans but lucratif

Verdict : Affirmations vérifiées. Signal est légitime.

WhatsApp — MITIGÉ

1. Open source ? Non (code fermé)
2. Audité ? Utilise Signal Protocol (audité) mais l'appli est fermée
3. E2E chiffré ? Oui, mais collecte extensive de métadonnées
4. Chiffrement spécifique ? Utilise Signal Protocol
5. Les experts font confiance ? Chiffrement oui, propriété Meta non
6. Modèle économique ? Publicité Meta

Verdict : Les messages sont chiffrés, mais Meta collecte tout le reste sur vous. À moitié fiable au mieux.

Telegram — LOUCHE

1. Open source ? Clients oui, serveur non
2. Audité ? Programme de récompenses mais inquiétudes persistent
3. E2E chiffré ? Seulement "Chats secrets" (pas par défaut)
4. Chiffrement spécifique ? MTProto personnalisé (experts sceptiques)
5. Les experts font confiance ? Mitigé à négatif
6. Modèle économique ? Pas clair (comment gagnent-ils de l'argent ?)

Verdict : La plupart des chats ne sont pas E2E chiffrés. Le chiffrement personnalisé est questionnable. Modèle économique pas clair. Pas fiable.

Zoom — MENTEUR (Historique)

1. Open source ? Non
2. Audité ? Pas quand ils ont fait l'affirmation
3. E2E chiffré ? Ont dit oui, chercheurs ont prouvé non
4. Chiffrement spécifique ? Affirmations vagues
5. Les experts font confiance ? Les ont attrapés en train de mentir
6. Modèle économique ? Freemium/Business

Verdict : Ont littéralement menti sur le chiffrement E2E. Exemple parfait de pourquoi la vérification compte.

Statut actuel : Offre maintenant E2E pour certaines fonctionnalités, mais la confiance est partie.

"Mais je ne suis pas technique..."

Bonne nouvelle : Vous n'avez pas besoin de l'être.

Voici la version trois questions :

Question 1 : Est-ce open source ?

  • Cherchez un lien GitHub sur leur site web

  • Oui ou Non


Question 2 : A-t-il été audité ?
  • Cherchez sur Google "[Nom de l'appli] security audit"

  • Pouvez-vous le trouver et le lire ?

  • Oui ou Non


Question 3 : Les experts en sécurité sur Reddit/HackerNews lui font-ils confiance ?
  • Cherchez des discussions sur r/privacy

  • Lisez ce que les experts disent

  • Fiable ou Sceptiques


Si les trois sont OUI → Probablement OK
Si un est NON → Soyez sceptique

C'est tout. Vous venez d'apprendre à repérer la plupart des mensonges sur la vie privée.

Et les "nouvelles" applis qui n'ont pas encore été auditées ?

Bonne question. Toutes les applis ne sont pas assez anciennes pour avoir des audits publics.

Signaux verts pour les nouvelles applis :

  • Open source (pour que les experts PUISSENT l'auditer)

  • Utilisent du chiffrement standard (pas personnalisé)

  • Ont un audit prévu/en cours

  • Sont transparentes sur le fait de ne pas être audités

  • L'équipe inclut des experts en sécurité


Signaux d'alarme pour les nouvelles applis :
  • Code fermé ET pas audité

  • Chiffrement personnalisé

  • Prétend une sécurité parfaite

  • Ne s'engage pas sur des audits futurs

  • Équipe anonyme


Exemple : Snugg (C'est nous)

Nous sommes nouveaux. Alors comment devriez-vous nous évaluer ?

  • Sera open source au lancement (vérifiez le code)

  • Utilise du chiffrement standard (TweetNaCl.js : XSalsa20-Poly1305)

  • Audit de sécurité prévu avec Trail of Bits avant le lancement

  • Modèle de menaces transparent publié

  • L'équipe inclut des conseillers en sécurité


Notre avis : Ne nous faites pas confiance. Quand nous lancerons, vérifiez tout vous-même. C'est littéralement le point de cet article.

La conclusion : Vous avez fait confiance à des menteurs

Voici ce que j'ai appris après l'incident Zoom :

Les entreprises mentent sur la vie privée tout le temps. La plupart des utilisateurs ne le découvrent jamais.

Mais vous n'avez pas à être l'un de ces utilisateurs.

La version simple :

1. Cherchez l'open source → Les experts peuvent-ils le vérifier ?
2. Cherchez des audits publics → A-t-il été vérifié ?
3. Cherchez des détails spécifiques → Ou juste du marketing ?
4. Demandez ce que pensent les experts → Regardez Reddit r/privacy
5. Vérifiez le modèle économique → Ont-ils besoin de vos données pour gagner de l'argent ?

Si une plateforme score bien là-dessus, elle est probablement fiable.

Sinon, supposez qu'ils mentent jusqu'à preuve du contraire.

Pourquoi c'est important

Vous avez probablement utilisé des applis pendant des années que vous pensiez privées.

Peut-être qu'elles le sont. Peut-être pas.

La question est : Comment le sauriez-vous ?

Jusqu'à présent, vous ne le sauriez pas. Vous deviez juste leur faire confiance.

Mais faire confiance sans vérifier est comment nous avons eu les mensonges de Zoom, le partage de données de TikTok, et tout le modèle économique de Facebook.

Vous méritez mieux que "faites-nous confiance."

Vous méritez des applis que vous pouvez vérifier.

Ce que Snugg fait différemment

Nous avons construit Snugg pour être vérifiable dès le premier jour.

À quoi nous nous engageons :

  • Open source → Vérifiez notre code sur GitHub

  • Audits publics → Lisez les rapports d'audit

  • Chiffrement standard → Pas de crypto personnalisée

  • Limitations honnêtes → Nous vous dirons ce que nous ne protégeons pas

  • Modèle économique transparent → Abonnements, pas surveillance


Ce que vous devriez faire :

Quand nous lancerons, ne nous faites pas confiance. Vérifiez-nous.

Utilisez cet article. Vérifiez notre code. Lisez notre audit. Demandez aux experts en sécurité ce qu'ils pensent.

Si nos affirmations ne correspondent pas à la réalité, dénoncez-nous.

C'est comme ça que ça devrait fonctionner.

Ressources pour en apprendre plus

Vous voulez vérifier les applis vous-même ?

Communautés où les experts en sécurité discutent des applis :

  • r/privacy (Reddit)

  • news.ycombinator.com (Hacker News)

  • @privacyguides@mastodon.social (Mastodon)


Guides de vie privée :
  • EFF's Surveillance Self-Defense : ssd.eff.org

  • Security Planner : securityplanner.org


Firmes d'audit à chercher :
  • Trail of Bits : trailofbits.com

  • NCC Group : nccgroup.com

  • Cure53 : cure53.de


Si une appli dit avoir été auditée par une de ces firmes, vous pouvez généralement faire confiance (tant que le rapport est public).

Carte de référence rapide

Imprimez ça ou faites une capture d'écran :

Signaux d'alarme (Ne pas faire confiance)

  • "Qualité militaire" sans spécifications
  • "Sécurité de niveau bancaire" sans détails
  • "Chiffré" mais pas "de bout en bout"
  • Chiffrement personnalisé
  • Code fermé
  • Pas d'audits publics
  • Le modèle économique nécessite vos données
  • Détails techniques vagues ou inexistants

Signaux verts (Pourrait être fiable)

  • Code open source
  • Audits de sécurité publics
  • Dit spécifiquement "chiffrement de bout en bout"
  • Nomme des algorithmes spécifiques
  • Honnête sur les limitations
  • Les experts en sécurité font confiance
  • Le modèle économique n'a pas besoin de vos données
  • Équipe transparente
Règle générale : S'ils ne peuvent pas (ou ne veulent pas) le prouver, ne le croyez pas.

Une dernière chose

Après Zoom, j'ai changé ma façon d'évaluer les applis.

Moi avant : "Ils ont dit que c'est chiffré, donc ça doit être sécurisé."
Moi maintenant : "Montrez-moi le code, montrez-moi l'audit, ou je ne vous crois pas."

Ce n'est pas du cynisme. C'est du réalisme.

Les entreprises ont prouvé qu'elles mentiront sur la vie privée pour gagner des utilisateurs.

La seule défense est la vérification.

Et maintenant vous savez comment.

Essayez Snugg

Nous construisons une plateforme que vous pouvez vraiment vérifier.

Ce qui nous différencie :

  • Open source (vérifiez le code vous-même)

  • Audité indépendamment (lisez les rapports)

  • Chiffrement de bout en bout (tout, pas seulement les messages)

  • Pas de pubs (modèle d'abonnement)

  • Métadonnées minimales (nous ne pouvons pas vous profiler)


Mais ne nous faites pas confiance. Vérifiez-nous quand nous lancerons.

Rejoignez la liste d'attente →

Questions ?

"Ce n'est pas paranoïaque ?"

Est-ce paranoïaque de ne pas faire confiance à des entreprises qui ont prouvé qu'elles mentent ? Zoom a menti. TikTok a menti. Facebook ment constamment. C'est du réalisme, pas de la paranoïa.

"Et si je veux juste utiliser ce que tout le monde utilise ?"

C'est OK. Mais au moins vous saurez ce à quoi vous renoncez. Le consentement éclairé compte.

"Les audits peuvent-ils être truqués ?"

Les firmes réputées (Trail of Bits, NCC Group, Cure53) misent toute leur activité sur des audits honnêtes. Mentir les détruirait. Donc bien que techniquement possible, c'est extrêmement improbable.

"Et les applis qui ne peuvent pas être open source ?"

Les applis bancaires, par exemple, ne peuvent souvent pas ouvrir leur code. C'est OK—mais alors elles doivent avoir plusieurs audits, conformité réglementaire et rapports de transparence. Plus de scrutin pour le code fermé.

Partagez ceci si vous connaissez quelqu'un qui pense encore que "chiffré" signifie automatiquement "privé".

À propos de Snugg : Nous construisons une plateforme sociale que vous pouvez vraiment vérifier. Open source, audité, chiffrement de bout en bout. Pas de surveillance, pas de mensonges.

En savoir plus : snugg.social
Questions : hello@snugg.social

À propos de l'auteure - Sam Bartlett

Je suis experte maritime basée dans les Caraïbes et fondatrice de Snugg. Après 15 ans à observer les plateformes de réseaux sociaux privilégier la publicité au détriment des vraies connexions humaines, j'ai décidé de construire l'alternative. J'ai auparavant créé et dirigé une entreprise de vacances à la voile qui dominait les résultats de recherche Google pendant des années, avant que les changements d'algorithme ne détruisent la portée organique. Je ne suis ni développeuse ni militante de la vie privée – juste quelqu'un qui en a eu assez des plateformes qui ont oublié leur raison d'être. Quand je ne construis pas Snugg ou n'inspecte pas des yachts, je souhaite que tout le monde ait plus de temps pour naviguer dans de beaux endroits (ou pour ce qui leur apporte de la joie).

Me contacter :

Partager cet article

Prêt pour une vraie confidentialité ?

Rejoignez notre liste d'attente et soyez parmi les premiers à découvrir une plateforme sociale vraiment privée.

Rejoindre la liste d'attente