Molly - Une version open source indépendante qui améliore l’application Signal

 (molly.im)
3 points par GN⁺ 2025-11-29 | 1 commentaires | Partager sur WhatsApp
  • Molly est un fork de Signal pour Android, une messagerie FOSS (open source complète) qui renforce la sécurité et le contrôle utilisateur.
  • Elle ne contient aucun code propriétaire et protège les données en chiffrant la base avec une passphrase.
  • La connexion multi-appareils est possible pour un même compte, avec un design adapté à la palette de couleurs de l’appareil via le thème Material You.
  • La sécurité est renforcée grâce au système de notifications sans Google basé sur UnifiedPush et à la fonction de verrouillage automatique.
  • Elle inclut des fonctions de sécurité supplémentaires comme le RAM Shredding, ainsi que des plans d’extension de fonctionnalités.

Présentation de Molly

  • Molly est un fork indépendant de Signal pour Android, qui améliore les fonctionnalités de l’application d’origine.
    • Elle conserve la philosophie de sécurité et de confidentialité de Signal, tout en supprimant les composants propriétaires.
    • Elle est proposée en open source libre (FOSS) complet, garantissant la transparence.

Principales fonctionnalités de sécurité

  • Chiffrement de la base de données grâce à une passphrase
    • Une structure destinée à protéger les messages et les métadonnées de l’utilisateur.
  • Fonction RAM Shredding pour supprimer en toute sécurité les données sensibles restantes en mémoire.
  • La verrouillage automatique (Automatic Locking) verrouille automatiquement l’application après une période d’inactivité.

Expérience utilisateur et design

  • Prise en charge du thème Material You, offrant une interface cohérente adaptée à la palette de couleurs de l’appareil.
  • Connexion multi-appareils (Multi-Device) permettant l’utilisation simultanée d’un même compte sur plusieurs appareils.

Notifications et architecture de communication

  • Adoption d’un système de notifications sans Google via UnifiedPush.
    • Structure de distribution des notifications sans dépendre des Google Play Services

À lire aussi

1 commentaires

 
GN⁺ 2025-11-29
Commentaire Hacker News

  • J’ai utilisé Molly pendant plus d’un an, puis un jour l’enregistrement de l’appareil a soudainement disparu et il m’a été impossible de me réinscrire sur le serveur
    La fonction de sauvegarde ne marchait pas non plus, ce qui m’a complètement bloqué pendant plusieurs jours, et j’ai finalement dû revenir à Signal pour créer une nouvelle base de données
    C’était vraiment une expérience horrible

    • J’ai eu presque exactement le même problème avec l’app officielle Signal
      J’utilise Signal/Molly uniquement parce que mes amis s’en servent, mais les applis concurrentes sont tout aussi bancales
      Je ne comprends pas pourquoi personne n’a encore réussi à faire un vrai client de messagerie instantanée correct. J’ai l’impression qu’on n’a pas beaucoup progressé depuis l’époque de Pidgin

  • Le projet Whisperfish est une messagerie Signal pour Sailfish OS, et il maintient une bibliothèque cliente Signal indépendante écrite en Rust
    Tant que Signal ne change pas le protocole ou ne bloque pas les clients non standard, ça fonctionne plutôt bien
    Voir le projet Whisperfish et la bibliothèque Presage

    • À noter que cette bibliothèque dépend de libsignal

  • À la question « quels proprietary blobs y a-t-il dans Signal ? », le readme GitHub indique FCM et Google Maps
    En pratique, FCM n’exige pas vraiment de blob, mais Google a fait en sorte que ça en donne l’impression
    En le rétroconcevant moi-même, j’ai vu qu’il s’agissait juste d’un wrapper excessif autour de deux simples broadcast receivers
    C’est ainsi que l’appli Mastodon est devenue la première appli à prendre en charge les notifications push FCM tout en restant 100 % open source

    • Firebase et GMS sont également inclus
      Pour les utilisateurs dont le modèle de menace inclut Alphabet, cette fuite de métadonnées peut être gênante
      Molly existe en une version qui utilise Firebase et une version Molly-FOSS qui utilise UnifiedPush
      GrapheneOS a aussi officiellement validé Molly dans ce tweet
    • Cela dit, c’est bien qu’il existe un client alternatif
      Il y a quelque chose d’ironique à voir une messagerie E2EE se verrouiller davantage pour se protéger elle-même que pour protéger ses utilisateurs
      Il fut un temps où les utilisateurs pouvaient librement manipuler leurs messages sur leurs propres appareils — y compris via des scripts ou de l’automatisation
      Mais c’était avant l’E2EE et avant la domination du mobile

  • La fonction phare de cette appli, c’est qu’on peut l’installer directement depuis F-Droid
    Je l’utilise avec satisfaction depuis longtemps, merci au développeur

    • À titre d’info, la page officielle de téléchargement de l’APK de Signal est ici
    • Il existe aussi un build de Signal dans le dépôt F-Droid du Guardian Project
    • Pour moi, le plus gros avantage est la prise en charge des notifications UnifiedPush. Signal ne prend en charge que les websockets et FCM
    • Bonne info. Ça devrait rendre mon usage bien plus confortable

  • Je veux un protocole unifié et le client que j’ai moi-même choisi, pas une nouvelle appli de chat

  • Signal sur Android ne prend pas en charge le mode appli compagnon pour tablette
    Donc si on veut utiliser Signal sur une tablette Android, il faut passer par Molly
    Depuis la sortie de la Pixel Tab, j’ai quitté l’iPad pour ça, et c’est plutôt stable

  • Je parie 50 $, c’est probablement une tentative de perturbation à l’échelle d’un État
    Signal est déjà assez répandu pour que la plupart de mes amis l’utilisent, et les convaincre de migrer vers une autre appli est quasiment impossible
    Il n’existe pas non plus de preuve claire que Signal soit peu fiable

    • Mais pourquoi faudrait-il faire confiance à ce type de service centralisé ?
      Je regrette d’avoir fait migrer ma famille vers Signal. On n’a aucun contrôle sur les données et on dépend d’un service basé aux États-Unis
      Si le projet de loi européen sur le Chat Control passe, ce genre de service centralisé sera ciblé en premier
      Signal devrait aussi être critiqué pour son implantation en Californie
    • Pour info, Molly utilise les mêmes serveurs que Signal, donc les utilisateurs des deux applis peuvent s’envoyer des messages et s’appeler normalement
    • Signal a toujours été au cœur de controverses sur la centralisation
      L’usage du numéro de téléphone, la découverte des contacts, la cryptomonnaie MOB, etc., ont fait émerger des alternatives comme Matrix ou Molly, mais elles restent des niches
    • Même si c’est une perturbation, cela ressemble quand même à une tentative ambitieuse de résoudre des problèmes anciens de Signal

  • Je me demande si la fonction de repli SMS a été réajoutée
    Sinon, je continuerai à utiliser Matrix. On y retrouve à peu près le niveau de confidentialité de Signal et une UX proche de Discord

    • Je serais curieux de savoir quelle appli cliente Matrix tu utilises
      Après l’IPO de Discord, j’ai essayé Revolt (aujourd’hui Stoat Chat) comme alternative, mais le partage d’écran et la réduction de bruit de Discord sont trop bons
      Sur Element, le bruit de fond était tellement fort qu’il devenait difficile de discuter
    • Mais le niveau de confidentialité de Matrix n’est pas comparable à celui de Signal

  • Mon plus gros reproche à l’appli Signal, c’est son UI/UX et le manque de fonctionnalités
    Franchement, le design est grossier, et des fonctions comme le partage de position en direct ou la synchronisation des messages sur plusieurs appareils ont peu de chances d’être implémentées dans la stratégie actuelle
    Et quand je vois qu’il n’y a pas une seule capture d’écran sur le site officiel, j’ai l’impression que cette « version améliorée » ne correspondra pas du tout à ce que j’attends

    • J’ai moi aussi fouillé l’App Store et GitHub à la recherche de captures d’écran, sans rien trouver
      Mettre en avant le thème « Material You » sans montrer une seule image, c’est étrange
    • Je pense pareil. J’ai même ouvert GitHub, mais il n’y a aucune image
    • À l’inverse, moi je trouve l’interface de Signal tout à fait satisfaisante. Je ne suis pas designer GUI, mais je ne vois pas vraiment ce qu’on pourrait faire de mieux

  • Je me demande si c’est une appli qui force des mises à jour périodiques comme Signal
    Moi, je veux une appli qui n’ait pas besoin de mises à jour — ce qui au fond veut dire l’e-mail

    • Pourquoi vouloir une appli qui n’ait pas besoin de mises à jour ?
      Cela signifie laisser en place les bugs et les failles de sécurité
      Signal ne bloque l’usage que lorsqu’il y a un correctif de sécurité, et l’intervalle est bien plus long que quelques semaines
    • Sans mise à jour, on peut se faire avoir par un zero-click exploit. C’est une vulnérabilité déjà corrigée ailleurs