CrowINT

@clement_molin On voit aussi exclusivement des produits de marques, alors que les alternatives de distributeurs existent, et certaines, comme Intermarché, sont de qualité. Il ne sait juste pas gérer son argent.

Je vois souvent passer ce genre de tweet et il faut voir le nombre de produits transformés et les choix d'alimentation : 1kg de pommes des terre ça peut couter 1€, les légumes c'est pas très cher (évidemment, encore faut-il acheter des légumes de saison), plutôt que des petits pots de yaourt, les gros d'1kg sont beaucoup moins cher, (et produisent moins de déchets), pareil pour la Crème fraiche. Ce qui est le plus cher, c'est la viande, les œufs, les desserts...

Auditer le protocole est évidemment essentiel. Mais en sécurité informatique, le protocole et l’implémentation sont deux choses différentes et complémentaires. Un protocole peut être parfaitement conçu sur le plan cryptographique, et pourtant devenir vulnérable à cause de son implémentation : erreurs de programmation, mauvaise gestion des clés, failles mémoire, logique applicative incorrecte, etc. L’histoire de la sécurité est remplie d’exemples où des implémentations défectueuses ont compromis des protocoles pourtant solides. Un exemple concret est Android : le modèle cryptographique du chiffrement du stockage est solide sur le papier, mais dans la pratique certaines implémentations et surfaces d’attaque du système permettent à des outils de forensic d’extraire des données lorsque l’appareil est déjà déverrouillé (état After First Unlock). Des systèmes comme GrapheneOS se concentrent justement sur le durcissement de l’implémentation (isolation mémoire, réduction de la surface d’attaque, gestion plus stricte des clés en mémoire) pour limiter ces vecteurs d’attaque, sans changer le protocole cryptographique lui-même. C’est précisément pour cette raison que les audits sérieux portent à la fois sur le protocole et sur le code. L’open source n’est pas une garantie absolue, mais il permet au moins l’analyse indépendante des implémentations et la détection de vulnérabilités potentielles. Sans accès au code serveur, comme dans le cas de Telegram, ces vérifications deviennent tout simplement impossibles, et on doit se contenter de faire confiance à l’éditeur.

@crow_int @ThomasSankaraTV @durov C'est justement le PROTOCOLE qui est censé protéger contre du code malicieux côté serveur, ou contre des serveurs compromis (par des acteurs étatiques ou par piratage). Le CODE n'a pas d'intérêt dans ce cas précis. Il est interchangeable, tant qu'il respecte le PROTOCOLE.

🧵 Pavel Durov utilise une vraie faille iOS pour faire de la pub à Telegram. Petit fact-check de quelqu'un qui a fait ses devoirs. La faille est réelle : le FBI a bien extrait des messages Signal depuis le cache de notifications d'un iPhone. Mais cette faille est dans la gestion des notifications d'iOS, pas dans Signal. Signal propose exactement le paramètre pour la désactiver (Paramètres > Notifications > Afficher > « Ni nom, ni message »). Si la victime l'avait activé, rien n'aurait fuité via les notifications. Maintenant, parlons de Durov et de son app « sécurisée ». ❌ Telegram n'est PAS chiffré de bout en bout par défaut Les discussions classiques Telegram sont chiffrées client-serveur, ce qui signifie que Telegram peut techniquement lire vos messages. Seuls les « Secret Chats », désactivés par défaut et cachés dans les menus, activent le vrai E2E. La grande majorité des utilisateurs ne les utilisent jamais. ❌ MTProto : le protocole maison de Durov, la plaie des cryptographes Au lieu d'utiliser le protocole Signal : audité, éprouvé et utilisé notamment par WhatsApp, Facebook Messenger et Google Messages (RCS chiffré) et des milliards d’utilisateurs, Telegram a inventé son propre protocole de chiffrement : MTProto. Règle d'or en cryptographie : on ne crée pas son propre crypto. Des chercheurs de l’ETH Zurich et de Royal Holloway ont publié en 2021 une analyse du protocole MTProto révélant plusieurs faiblesses cryptographiques. Ils ont notamment montré que certaines implémentations des clients Telegram (Android, iOS et Desktop) permettaient théoriquement d’exploiter un canal auxiliaire pour récupérer du texte en clair. Telegram a corrigé ces problèmes après leur divulgation. ❌ Le serveur de Telegram est fermé, impossible à auditer Le code client est open source, oui. Mais le code serveur ? Fermé. Personne ne peut vérifier indépendamment si l'implémentation correspond à ce que Telegram prétend faire de vos données. En cryptographie, un algorithme public ne vaut rien si son implémentation côté serveur reste une boîte noire. ❌ Durov a capitulé face aux gouvernements Après son arrestation en France en août 2024, Telegram a discrètement mis à jour sa politique de confidentialité : l'app partage désormais les adresses IP et numéros de téléphone des utilisateurs sur demande judiciaire. En 2024, Telegram a fourni des données à des autorités américaines dans 900 cas distincts, concernant 2 253 utilisateurs. C'est la même plateforme dont Durov vante la confidentialité. ⚠️ Signal « financé par le gouvernement américain » : le grand classique de la désinformation pro-Kremlin Oui, Signal a reçu ~3 M$ de l'Open Technology Fund entre 2013 et 2016, une organisation qui finance des outils de liberté sur internet dans les pays autoritaires, comme Tor ou les VPN. Ce financement a toujours été public et transparent. Le protocole Signal est entièrement open source, audité de façon indépendante, et ses résultats d'audit sont publiés. Comparer ça à une backdoor gouvernementale, c'est de la propagande. Exactement le même argument utilisé par la Russie pour justifier le blocage de Signal sur son territoire. Pour ceux qui veulent creuser, j’ai publié l’an dernier une enquête détaillée sur Telegram : architecture, mythologie libertarienne et rôle dans l’écosystème de désinformation. debunkcafe.fr/telegram-mythe… En résumé : 🔒 Signal : E2E par défaut, protocole ouvert, audité, serveur open source 🎭 Telegram : E2E optionnel, désactivé par défaut et caché, protocole maison critiqué, serveur fermé, coopère désormais avec les gouvernements Durov attaque Signal avec une faille qui n'est pas dans Signal, depuis une app moins sécurisée que Signal, pour des utilisateurs qui pensent être protégés alors qu'ils ne le sont pas. C'est ça, la vraie désinformation.

@CharlieBismuth @ThomasSankaraTV @durov C'est toujours mieux que de ne rien auditer.

@crow_int @ThomasSankaraTV @durov Auditer du CODE ne sert pas à grand-chose sans garantie que c'est bien ce code qui tourne (hormis ses propres instances). Des systèmes de "preuves" existent, mais c'est complexe, lourd et rarissime. Ce qu'on audite c'est un PROTOCOLE (garant de la sécu), en mode "boîte noire".

@freeMind106 @pbeyssac @gchampeau Maybe it's just because you're American and don't know which AI the French use?

@pbeyssac @gchampeau I've never seen a single one saying I'm using Mistral instead of Claude or GPT because it's better. Mistral sucks take it as you want

I this "Mistral in only 74th, what a shame" buzz since yesterday with a lot of broken/incomplete analyses with confirmation biases. Enough. 1. The ranking is here. The scores are very close to each other (top model: 1504, Mistral: 1415) arena.ai/leaderboard/te…

@pbeyssac Un sondage IFOP sur les réponses des IA, en gros. Très subjectif, donc par principe, pas fiable.😅

3. Actually anyway, the lmarena ranking is *not* a quality or intelligence benchmark. It is a blind test by users of which answers they like best.

@AnankeGroup La plateforme des données de santé sera hébergée sur une solution européenne, voir française d'ici fin 2026. Et Palantir, c'est un scandale même si c'était une solution française. linkedin.com/posts/directio…

Bon, on dépend de Palantir pour une agence de renseignement et les données médicales de Français sont stockées chez Microsoft. Changer d'OS et faire du bruit autour de ça, ça ressemble à une diversion ...

Et même dans vos commentaires @lalibrebe. Pour celui-ci, il suit un schéma très connu : compte de 2023, les chiffres à la fin de son pseudo, rt systématiquement les comptes pro-russes : Aberkane, Trotta, Philippot (aussi appelé Philippov dans le milieu), Kompromat...

Effectivement, publier le code ne garantit pas à lui seul que c’est exactement ce code qui tourne en production. Mais l’open source reste fondamental : il permet l’analyse indépendante du fonctionnement du logiciel, la détection de vulnérabilités et l’examen public des choix d’architecture et de sécurité. Les audits indépendants réguliers permettent ensuite de vérifier que les implémentations respectent ces principes. Ce n’est pas une garantie absolue, mais cela réduit fortement le risque. Et surtout, cela rend ces vérifications possibles. Avec un serveur entièrement fermé, comme dans le cas de Telegram, ces vérifications indépendantes sont tout simplement impossibles.

@ThomasSankaraTV @crow_int @durov Publier un code source ne garantit rien, sauf si on utilise ses propres serveurs. Impossible de savoir si c'est bien le code publié qui tourne réellement en production. Idem pour TwiX, pour Signal et n'importe qui.

@AdyAped @flppcrt @bluetouff "Southeast Asia" : a troll farm, or just a lone groupie for Pavel Durov? Probably both.

@flppcrt @crow_int @bluetouff you will not be answered, because he is lazy to read the facts and only looks at his own side

1️⃣ Sur Telegram, les Secret Chats doivent être activés manuellement pour chaque conversation. Sur Signal, le chiffrement de bout en bout est activé par défaut pour toutes les conversations. La seule chose à ajuster éventuellement sur Signal, c’est le paramétrage des notifications, une seule fois pour toute l’application. Donc oui, Telegram peut éviter certaines fuites dans les Secret Chats. Mais ces conversations ne sont ni activées par défaut, ni majoritaires dans l’usage réel. 2️⃣ Tu parles d’un compromis fonctionnel. Très bien, c’est un choix d’architecture. Mais dans ce cas, il faut être cohérent : Durov critique régulièrement d’autres messageries sur leur sécurité, alors que son application n’active pas le chiffrement de bout en bout par défaut. Le problème n’est pas le compromis. Le problème, c’est la communication qui prétend faire mieux que les autres. 3️⃣ Le point important n’est pas que plusieurs apps utilisent le protocole Signal. Le point important est qu’elles ont choisi un protocole : - ouvert - audité - étudié par la communauté académique - utilisé à grande échelle par des milliards d’utilisateurs (notamment via WhatsApp) 4️⃣ Dire qu’un serveur fermé serait une "protection contre les États" est un contresens. Un serveur non auditable signifie simplement que : - personne ne peut vérifier son implémentation - personne ne peut auditer la gestion des données - personne ne peut vérifier l’absence de vulnérabilités ou de backdoors. L’open source ne protège pas de tout. Mais il permet la transparence et la vérification indépendante. 5️⃣ Toutes les plateformes répondent aux réquisitions légales. La vraie différence, c’est ce qu’elles sont capables de fournir. Signal a déjà expliqué aux autorités qu’il ne possédait tout simplement pas les données demandées. Les seules informations conservées sont : - la date de création du compte - la date de dernière connexion Les réquisitions sont publiées ici : signal.org/bigbrother/ 6️⃣ Suggérer qu’un protocole est suspect parce qu’il est utilisé par plusieurs grandes plateformes n’a pas beaucoup de sens. Le protocole Signal est aujourd’hui l’un des plus analysés dans le monde des messageries. Le mettre sur le même plan qu’un protocole propriétaire beaucoup moins étudié, ce n’est pas de la prudence. C’est une fausse équivalence.

Ton post est très détaillé et bien documenté. Beaucoup de points sont factuellement justes, et c’est important de le reconnaître. Mais je me permets de nuancer certains aspects, car la réalité de la sécurité n’est pas toujours binaire genre Signal = parfait / Telegram = danger. 1. La faille iOS et les notifications, c’est exact: la fuite vient d’iOS (cache des notifications), pas de Signal. Et Signal propose bien le réglage ni nom, ni message. Mais Pavel Durov n’a pas menti non plus: les Secret Chats Telegram n’ont jamais affiché le contenu dans les notifications, depuis 2013. C’est un choix délibéré et cohérent avec leur philosophie. Donc oui, c’est une vraie différence pratique, pas juste de la pub. 2. Le E2EE par défaut, vrai à 100%. Les chats classiques Telegram sont chiffrés client-serveur (Telegram peut théoriquement lire). Seuls les Secret Chats sont E2EE, et ils sont optionnels. Cela dit, beaucoup d’utilisateurs l’ont intégré dans leurs habitudes (et Telegram le rappelle régulièrement). Pour la très grande majorité des usages quotidiens (groupes, canaux, discussions non ultra-sensibles), le chiffrement client-serveur suffit largement et permet des fonctionnalités utiles (recherche, synchronisation multi-appareils, etc.). Ce n’est pas forcément une faiblesse pour tout le monde, c’est un choix de compromis. 3. MTProto vs Protocole Signal. Oui, Telegram a créé son propre protocole au lieu d’adopter Signal Protocol, et oui, des chercheurs ont trouvé des faiblesses en 2021. Telegram les a corrigées après divulgation. Mais le protocole Signal est aujourd’hui utilisé par WhatsApp, Messenger, Google Messages… c’est à dire des applications qui appartiennent toutes à des géants américains. Est-ce vraiment plus rassurant ? 4. Code serveur fermé... c'est le point le plus intéressant selon moi. Oui, le serveur Telegram est fermé, impossible à auditer indépendamment. Mais n’est-ce pas justement une force dans le contexte actuel ? En cryptographie, on parle souvent du principe de Kerckhoffs (l’algorithme doit être public). Pourtant, quand on voit les pressions gouvernementales partout, un serveur fermé rend beaucoup plus difficile l’insertion discrète d’une porte dérobée par un État. Le code client est open source, les algorithmes sont publics, on peut vérifier ce qui sort de ton téléphone. Le serveur fermé protège justement l’implémentation contre les injonctions étatiques. C’est un choix assumé de "security by design" face à un monde où les audits open source ne protègent pas contre les mandats secrets. 5. Capitulation face aux gouvernements.. Vrai, après l’arrestation de Durov en 2024, Telegram a mis à jour sa politique et partage IP + numéros sur réquisition judiciaire. Ils ont aussi fourni des données aux autorités US. Mais honnêtement, quelle grande messagerie ne le fait pas aujourd’hui ? Signal, malgré son image puriste, est obligé de répondre aux demandes légales valides (métadonnées, etc...). Le vrai débat n’est pas qui coopère le moins, mais qui rend la coopération la plus difficile techniquement. 6. Le financement de Signal et la désinformation pro-Kremlin. Le financement par l’Open Technology Fund (lié au gouvernement US) est transparent. Mais avec tout ce qu’on voit et entend aujourd’hui sur les programmes de surveillance gouvernementaux, ne trouvez-vous pas justement suspect que plusieurs applications majeures partagent les mêmes standards cryptographiques, validés et reconnus par les États ? Le protocole Signal est excellent… mais il est devenu le standard de facto des Big Tech US. Quand un protocole est "officiellement" recommandé et utilisé massivement par des acteurs alignés avec un État, la question de la confiance se pose légitimement. Ce n’est pas de la paranoïa, c’est de la prudence face à l’histoire documentée des agences de renseignement.

@Rizinkovic La manipulation diffère selon si tu es sur Android ou iOS, voici les deux ⬇️ Le E2E n'est disponible que dans les chats entre deux personnes, après activation. Les groupes, eux, ne sont pas compatibles avec le chiffrement.

@crow_int merci pour ce partage... comment activer l'E2E sur Telegram(si c'est possible) ?.. aussi je me suis récemment fait hacké un canal telegram où j'étais le seul admin(et je précise que j'ai activé l'authentification à 2 facteurs).. comment y rémedier ?

@Patriot32162436 @20Minutes Ça se passe bien dans la ferme à trolls Igor ?

@20Minutes Pourquoi lui en vouloir ? La France aussi deal avec la russie..

Le directeur général d’une société française spécialisée dans la fabrication de machines-outils a été mis en examen pour l’exportation de ces biens vers la Russie, en violation des embargos instaurés par l’Union européenne ➡️ 20min.fr/ite

@V_de_Quimper @BrunoTertrais Le drapeau européen est un motif de blocage pour lui. Il aurait préféré un autre... x.com/crow_int/statu…

@BrunoTertrais Je viens de m'apercevoir que j'étais bloquée par ledit compte. Aucun souvenir avoir jamais interagi avec, peut-être ai-je oublié. Quoi qu'il en soit, le blocage de comptes totalement insignifiants comme le mien est un indice fort... 🤷

Oui

@naomibrockwell @session_app @Ced_haurus

We need more than 1 option for private messengers. I don't want to see @session_app disappear, especially now that they have PFS on their roadmap. I hope that they remain alive.

⚠️ Police and intelligence agencies are using phone ad data to track people. Up to 500M devices feed Webloc, built by Cobwebs and sold by Penlink, enabling location tracking, identity inference, and 3-year history, per Citizen Lab. 🔗 Learn more → thehackernews.com/2026/04/citize…

@deepquest Thanks for your input, you Durov dickrider.

J'en ai vu des anneries sur tg mais là on entend les mêmes spéculations de ouin ouin: -Telegram n'a pas de prévisualisation des messages 2e par défaut depuis des années justement pour éviter ce qui est arrivé sur signal. Intrange que signal propose la pre-visualisation pour les messages e2. -Telegram utilise sont propre hardware pour limiter les risques sur la partie serveur et non pas les clouds AWS ou autres mêmes si les meta data sont limitées. -Signal a eu plusieurs vulnérabilités critiques dont une permettant d'écouter un utilisateur a son insu. forbes.com/sites/daveywin… ca devrait un red flag. -Telegram avait offert un bug bounty a $250k a qui conque qui démontre une vulnérabilité interceptant des messages sur la plateforme, personne n'a réussi. Recommander un algorithme de crypto que tout le monde l'utilise, j'ai cru entendre une blague. En ce qui concerne une réplique de serveur signal parce que c'est open source: 2em blague du jour car quasi impossible.

Helloooo ?! You are the one who accepted the fact that RCE via sticker is valid but every sticker uploaded to the platform undergoes mandatory validation on your servers before being distributed to client applications. I mean technically Telegram itself can push these stickers to the clients :D :D :D

@AurelienDuchene @Thinker_View Et au passage, Thinkerview, alias Sky, alias Bertrand Pillet bien souriant en compagnie de Lavrov.

@AurelienDuchene @Thinker_View Bloqué, sans jamais aucune interaction avec lui. Mes publications sur la propagande, l'influence et l'ingérence russe ne doivent pas lui plaire.

.@Thinker_View ne donne pas la parole « à tout le monde » : il refuse d’accueillir sur sa chaîne des intervenants qui remettraient en cause les narratifs prorusses, et bloque préventivement ceux qui critiquent cette propagande comme votre serviteur. On sait pour qui il roule.