Pourquoi nous avons abandonné Matrix (2024)

 (forum.hackliberty.org)
1 points par GN⁺ 2025-12-26 | 1 commentaires | Partager sur WhatsApp
  • En raison des limites structurelles de sécurité du protocole Matrix et de problèmes d’exploitation, la communauté Hack Liberty a migré vers SimpleX
  • Des problèmes tels que l’exposition des métadonnées, les abus de privilèges administrateur et les vulnérabilités du chiffrement portent gravement atteinte à la vie privée et à la sécurité des utilisateurs
  • La collecte de données personnelles par l’organisation Matrix.org, ainsi que l’intermédiation de Cloudflare et l’arrêt du support du navigateur Tor, sont également cités comme des facteurs de perte de confiance
  • SimpleX renforce la sécurité en transmettant les messages sans identifiants utilisateur, avec un routage onion à 2 sauts et un échange de clés chiffré post-quantique
  • Cette transition est présentée comme une alternative concrète pour assurer la sécurité et la confidentialité des communautés décentralisées

Les limites des protocoles fédérés

  • Les réseaux fédérés offrent une résistance à la censure grâce aux interactions entre plusieurs serveurs, mais ils comportent des problèmes de sécurité fondamentaux dès la conception
    • Après plus de deux ans d’exploitation de services fédérés publics comme Matrix et Lemmy, il est apparu que tous les protocoles fédérés partagent des défauts structurels communs

Les problèmes du protocole Matrix

Exposition des métadonnées

  • Dans Matrix, l’expéditeur des messages, les pseudonymes, les photos de profil, les réactions, les accusés de lecture et les horodatages ne sont pas chiffrés
    • En raison de la validation des messages, des exigences de performance et de lacunes dans la conception du protocole, une partie de cette exposition des métadonnées constitue un défaut intentionnel ou structurel
    • Un lien d’exemple montre un cas réel de fuite

Attaque de l’administrateur en homme du milieu (Admin in the Middle)

  • Un administrateur de serveur malveillant peut, en consultant simplement la base de données Synapse, collecter des informations utilisateur, des réactions et des métadonnées de salon
    • Il peut aussi mener des attaques actives comme l’usurpation d’identité, la modification du sujet d’un salon, des invitations ou expulsions arbitraires et la manipulation des permissions
    • Il peut également ajouter un nouvel appareil pour accéder aux messages E2EE, et même configurer le système pour ignorer les avertissements destinés à l’utilisateur
Publicité

Faiblesses structurelles du protocole

  • Matrix fonctionne comme une base de données en graphe partiellement répliquée, et 22 vulnérabilités majeures y sont pointées
    • Parmi elles : événements impossibles à supprimer, vulnérabilité au spam, incohérences d’historique, possibilité de falsification des messages, chiffrement sélectif, incohérences de signature, création de salons en split-brain et risque de réplication de médias illicites
    • Les incohérences d’état entre serveurs peuvent entraîner la perte des droits d’administration ou l’impossibilité de fermer un salon

Vulnérabilités du chiffrement Megolm

  • Plusieurs vulnérabilités cryptographiques concrètes ont été signalées dans le protocole Megolm de Matrix
    • Divers scénarios d’attaque sont évoqués, dont effondrement de la confidentialité, attaques de vérification, usurpation de confiance et attaques IND-CCA
    • Ces attaques supposent la coopération du serveur et peuvent être reproduites dans les bibliothèques centrales du client Element (comme matrix-js-sdk)

Surconsommation de ressources

  • Le serveur Synapse exige beaucoup de CPU, de mémoire, de disque et de bande passante
    • Selon le nombre d’utilisateurs, 4 à 12 instances sont nécessaires, ce qui rend le coût d’exploitation excessif
Publicité

Les problèmes liés à l’organisation Matrix.org

Collecte de données

  • matrix.org et vector.im collectent régulièrement les e-mails, numéros de téléphone, IP, informations sur les appareils, habitudes d’utilisation et identifiants de salons des utilisateurs
    • Dans la configuration par défaut, des données personnelles sont publiques, et les fichiers, images et informations de profil téléversés sont accessibles publiquement
    • Même avec un serveur auto-hébergé, des données sensibles sont transmises au serveur central

Diffusion de contenus pédocriminels

  • En raison de la lenteur de réaction de Matrix.org, des dizaines de milliers de pédocriminels ont diffusé des contenus illégaux
    • L’impossibilité de fermer des salons, les téléversements de médias non vérifiés et la réplication automatique ont favorisé la propagation de contenus illégaux dans toute la fédération
    • Chaque homeserver présente une forte probabilité d’héberger des contenus illégaux

Intermédiation de Cloudflare

  • Il a été confirmé que le trafic TLS de matrix.org et vector.im se termine chez Cloudflare, ce qui implique un risque d’attaque de type homme du milieu

Arrêt du support du navigateur Tor

  • Le client web Element ne prend plus en charge le navigateur Tor
    • Le support a été abandonné sans plan de reprise, pour des raisons telles que l’ancienne base Firefox de Tor, l’impossibilité de tester et le manque de financement
Publicité

Problèmes liés à Lemmy

  • En raison de la même architecture fédérée que Matrix, Lemmy rencontre aussi les mêmes problèmes de réplication des données, censure et responsabilité liée aux contenus illégaux
    • La dé-fédération favorise une décentralisation de type censitaire, encourage le groupthink et permet la manipulation des votes positifs et négatifs, ce qui limite la liberté de discussion

Migration vers SimpleX

Structure de communication sans identifiant

  • SimpleX n’utilise aucun identifiant utilisateur (numéro de téléphone, e-mail, clé publique, etc.)
    • Chaque conversation utilise des adresses de files de messages unidirectionnelles indépendantes afin d’anonymiser le lien entre interlocuteurs
    • Une future fonction de rotation automatique des files doit permettre la migration entre serveurs et la prévention du pistage

Prévention du spam et des abus

  • Il faut partager directement un lien d’invitation ou une adresse temporaire pour pouvoir être contacté, ce qui bloque les approches non désirées
    • Le changement ou la suppression d’adresse permet de bloquer totalement le spam
Publicité

Propriété totale des données

  • Toutes les données utilisateur sont stockées uniquement sur l’appareil client, les serveurs ne jouant qu’un rôle de relais temporaire
    • Même dans le trafic entre serveurs, il est impossible d’identifier l’émetteur ou le destinataire, grâce à une architecture de transmission intraçable

Réseau exploité par les utilisateurs

  • Tout le monde peut exploiter son propre serveur SimpleX, et le SDK ainsi que le protocole ouvert permettent de développer des bots et des services

Comparaison avec Matrix

Élément SimpleX Matrix
Chiffrement Double chiffrement + échange de clés post-quantique Megolm (vulnérabilités présentes)
Routage des messages Routage onion à 2 sauts Structure fédérée, exposition des métadonnées
Décentralisation Aucun composant central Présence d’un nœud central d’amorçage
Gestion des médias Chiffrement local et rotation manuelle des files Téléversements non vérifiés, réplication automatique
Support Tor Pris en charge avec routage onion Support abandonné
Cloudflare Non utilisé Terminaison TLS chez Cloudflare

Caractéristiques techniques de SimpleX

  • Chiffrement de bout en bout basé sur Double Ratchet, échange de clés post-quantique, routage onion à 2 sauts
  • Prise en charge de Tor et des proxys SOCKS, canaux sécurisés TLS 1.2/1.3, structure de signature anti-rejeu
  • Réseau entièrement décentralisé, intégration de Flux pour renforcer la protection des métadonnées

Expérience utilisateur et fonctions supplémentaires

  • Appels vocaux et vidéo E2EE, notifications chiffrées, chiffrement local des fichiers, édition des messages et réactions, chat de groupe économe en batterie
  • Mode anonyme, client console, SDK pour bots, déploiement serveur en un clic sur Linode et diverses fonctions d’extension

Feuille de route

  • Développements prévus : amélioration de la stabilité, prise en charge de grandes communautés, curseur confidentialité/sécurité, conversations éphémères, partage de localisation et règles d’automatisation

Conclusion : en raison des failles structurelles de sécurité de Matrix et d’un manque de confiance dans son exploitation, Hack Liberty a migré vers un réseau entièrement centré sur la confidentialité et basé sur SimpleX. SimpleX est présenté comme une plateforme communautaire sûre de nouvelle génération, grâce à une communication sans identifiants, un chiffrement robuste et une architecture décentralisée.

À lire aussi

1 commentaires

 
GN⁺ 2025-12-26
Avis sur Hacker News

  • Je voulais vraiment que Matrix réussisse, mais j’ai désormais complètement abandonné.
    Le système de résolution d’état (state resolution) est beaucoup trop complexe et gourmand en ressources. Il arrive encore que des salons se cassent. Même calculer simplement la liste des membres d’un salon est inefficace au point que la base de données peut atteindre plusieurs Go.
    En plus, même après des années, il manque toujours des fonctions de base comme les emoji personnalisés, le statut utilisateur ou les liens d’invitation.
    Problèmes liés : #339, #573, #426
    En ce moment, SimpleX me paraît intéressant : il vise une cible similaire à Signal, mais avec une approche différente. Cela dit, je n’ai pas encore l’impression qu’il se soit vraiment diffusé auprès du grand public.

    • Moi aussi, j’espérais que Matrix réussirait, mais j’y ai à moitié renoncé. Avant, j’hébergeais moi-même un homeserver Synapse, mais la consommation de ressources était beaucoup trop élevée. Je suis donc revenu à XMPP. Si on veut simplement fournir du chat, XMPP est bien plus efficace. Pour SimpleX, je préfère encore attendre qu’il mûrisse davantage.
    • Les problèmes de résolution d’état se sont beaucoup améliorés depuis Project Hydra. Le problème de taille de base de données vient de l’efficacité du stockage dans Synapse. J’ai montré une méthode de correction dans cette vidéo, mais la priorité était d’abord de corriger les resets d’état.
      Pour les fonctions comme les emoji personnalisés ou le statut utilisateur, il existe déjà des propositions MSC et leur implémentation est en cours. Depuis 2023, les difficultés de financement nous ont amenés à concentrer le développement sur des projets publics pour assurer la survie.
    • J’aimerais demander si tu as essayé XMPP.
    • J’ai utilisé SimpleX comme serveur principal pendant environ un an, et ça fonctionnait bien. J’ai essayé de migrer un groupe Signal vers SimpleX, mais j’ai échoué, et l’usage s’est finalement arrêté.
    • Moi, ça fait plusieurs années que je garde le même salon Matrix.

  • Pour moi et mon entourage, l’expérience Matrix a été très positive. Nous avons embarqué des dizaines d’utilisateurs non techniques via Beeper et Element, et tout le monde s’en sert bien. Les changements d’appareil se passent sans problème, et l’UX est assez compétitive même face à Discord.
    Du coup, je ne comprends pas les plaintes qu’on voit sur HN. J’imagine que cela vient peut-être de vieux serveurs ou de clients incompatibles.

    • Matrix semble presque arrivé à maturité, donc les gens réagissent davantage aux défauts restants. Ces dernières années, la priorité a été mise sur les déploiements dans le secteur public, donc les fonctions concurrentes de Discord sont passées après.
    • Le self-hosting allait bien, mais pour les gens venus de Discord, les liens d’invitation et le processus d’inscription étaient beaucoup trop compliqués. En particulier, le changement du système de chat vocal a cassé les installations existantes, et la documentation était insuffisante.
    • Je gère aussi mon serveur personnel avec des scripts ansible (matrix-docker-ansible-deploy), et cela fonctionne de manière stable. La différence d’expérience vient peut-être du serveur public (matrix.org).
    • Moi aussi, je l’utilise sans problème. Pour les petites discussions entre amis, ça fonctionne parfaitement.
    • Je suis curieux de savoir comment ça se passe côté sécurité.

  • SimpleX affirme qu’il n’a « pas d’identifiants utilisateur », mais en réalité, les adresses IP restent exposées. Tout le réseau public est hébergé par seulement deux entreprises, Akamai et Runonflux.
    Il faudrait fournir Tor par défaut et expliquer clairement les options de masquage d’IP. Pour l’instant, cela signifie seulement qu’aucun identifiant supplémentaire n’est créé, pas que l’IP elle-même est protégée.

    • Je suis le concepteur du réseau SimpleX. Une adresse IP est un identifiant Internet, pas un identifiant SimpleX. L’objectif de SimpleX est d’empêcher la corrélation entre IP et d’éviter l’exposition à des serveurs que l’utilisateur n’a pas choisis.
      La raison pour laquelle nous n’intégrons pas Tor est expliquée dans la FAQ.
    • Le fait que SimpleX semble vouloir créer sa propre cryptomonnaie m’inquiète.

  • Je n’ai pas d’avis sur Matrix, mais je recommande vivement de lire l’article Nebuchadnezzar. Le cœur de la messagerie sécurisée de groupe, ce n’est pas le chiffrement, mais la gestion des membres du groupe.
    Lien vers l’article

    • Le combiner avec un système comme FOKS(https://foks.pub) pourrait être intéressant.
    • J’ai lu pour la première fois la documentation du protocole Matrix, et j’ai eu l’impression qu’elle avait été conçue par quelqu’un qui comprenait mal les systèmes distribués. On dirait un mélange d’IRC et de XMPP, sans même les notions de Lamport clock ou de virtual synchrony.
      En voyant ces multiples tentatives de consensus via tri de DAG, je me suis dit que le projet était fondamentalement mal engagé. À ce compte-là, autant construire soi-même un chat de groupe avec NNTP + GnuPG.

  • J’ai publié la mise à jour de fin d’année de Matrix : Matrix Holiday Special 2025
    Je vous souhaite à tous d’excellentes fêtes de fin d’année :)

  • J’utilise Matrix depuis 6 ans. Lors de l’afflux massif de 2020, c’était difficile, mais aujourd’hui c’est stable.
    Je me plains toujours des bugs et de la lenteur d’Element Web, mais il existe beaucoup de clients alternatifs plus légers.
    Le chiffrement des métadonnées n’est pas encore complet, mais dans mes conversations quotidiennes, ce n’est pas un gros problème.
    Si je continue à utiliser Matrix, c’est pour cette combinaison irremplaçable de structure fédérée, E2EE, multi-appareil, logiciel libre et possibilité de self-hosting.
    Le leadership calme du responsable du projet m’inspire aussi confiance.

    • Je suis d’accord aussi. À cause des fuites de mémoire d’Element Web, j’utilise un fork personnalisé (lien vers le problème).
      Le passage à matrix-rust-sdk devrait apporter une grosse amélioration. Le projet Aurora m’inspire aussi beaucoup d’attentes.
    • XMPP peut offrir pratiquement les mêmes fonctions avec bien moins de ressources. Pour la visioconférence, il faut un serveur TURN, mais ça fonctionne bien.

  • Moxie (fondateur de Signal) a donné au CCC 2020 une conférence qui pointait les problèmes des systèmes fédérés (federation).
    Lien vidéo

    • Son billet de blog de 2016, The Ecosystem Is Moving, reste lui aussi toujours pertinent. Je le relis à chaque fois que je vois les problèmes auxquels les systèmes distribués sont confrontés.
    • Les systèmes centralisés garderont toujours un avantage en matière de capacité de coordination ; donc, si un système distribué n’a pas une raison d’être claire, il finit par être repoussé vers une niche.
    • Recueil de discussions liées :
    • En fin de compte, son propos revenait à dire : « nous voulons aller vite et pouvoir changer librement les clients ». Mais s’il faut un contrôle absolu sur le client, alors le sens même de l’E2EE s’en trouve réduit.

  • Je ne suis pas d’accord avec l’idée de « Why Federation Must Die ». Le fédéré est difficile, mais c’est le seul moyen de maintenir des communications sûres dans l’UE face à des réglementations comme Chatcontrol.
    Dans un système centralisé, il suffit de faire pression sur une seule organisation ; dans un système fédéré, comme tout le monde peut faire tourner un serveur, c’est beaucoup plus difficile à contrôler.

    • Cet article ne défend pas le fédéré, mais la décentralisation complète.
    • Moi aussi, je soutiens le fédéré. Quand on voit Mastodon, on comprend à quel point une structure plus libre est importante que la centralisation. La découvrabilité est difficile, mais en échange l’autonomie est bien plus grande.

  • Le camp anti-Big Tech est en réalité une coalition de plusieurs systèmes de valeurs.
    D’un côté, certains donnent la priorité à la fédération et à l’autonomie ; de l’autre, d’autres privilégient le chiffrement et la vie privée.
    Si l’on reconnaît que les priorités diffèrent, on pourra peut-être coopérer de façon plus tolérante, même sans être parfaitement alignés.

    • Je pense pareil. Pour moi, le plus important est le self-hosting et l’interopérabilité, tandis que d’autres accordent plus d’importance à l’E2EE et à la minimisation des métadonnées.
      Il est presque impossible pour un projet comme Matrix de satisfaire pleinement ces deux camps.
      En plus, comme le camp sécurité/vie privée est plus audible, le discours paraît souvent plus négatif qu’il ne l’est en réalité.

  • Cette année, nous travaillons à améliorer la protection des métadonnées de Matrix.

    • MSC4362 : chiffrement de l’état des salons
    • MSC4256 : suppression de l’expéditeur et chiffrement basé sur MLS
      Par le passé, la priorité était de stabiliser le chiffrement dans un environnement distribué, donc la protection des métadonnées passait après.
      En outre, le trafic réseau lui-même expose déjà beaucoup de métadonnées, donc il est difficile de tout masquer complètement.
      Malgré cela, d’autres améliorations sont prévues pour 2026.
      À noter aussi cette présentation de 2016 : Matrix Jardin Entropique (PDF)
      Certaines affirmations, comme l’envoi des données à un serveur central, sont fausses. L’authentification des médias est en place depuis juin 2024, et en 2025 l’équipe trust & safety a également été renforcée.
    • Les gens veulent s’auto-héberger, mais au final ils finissent par vouloir un service d’hébergement payant. S’il y a beaucoup d’enjeux de sécurité, cela peut même devenir une opportunité commerciale pour l’hébergement.
    • L’attitude consistant à dire « faites tourner votre propre serveur » aura du mal à obtenir un soutien durable. Attendre d’un utilisateur lambda qu’il devienne semi-administrateur système n’est pas réaliste.