Comment ça marche
Session génère localement un Account ID de 66 caractères au premier lancement — cette chaîne est la seule identité associée à vos messages. Les messages sortants sont enveloppés dans trois couches de chiffrement et acheminés via des chemins en routage onion à travers le réseau de service nodes de Session, l'infrastructure décentralisée héritée du projet Oxen. En attendant la connexion du destinataire, le chiffré reste stocké sur un swarm de service nodes, dont aucun ne peut voir simultanément le contenu, l'expéditeur et le destinataire. Les clients desktop, iOS et Android sont des builds officiels ; F-Droid et un APK auto-compilé sont également disponibles. Le chiffrement de bout en bout repose sur le Session Protocol, un dérivé du Signal Protocol débarrassé de l'identifiant durable qu'est le numéro de téléphone et retravaillé pour fonctionner sur le réseau de stockage différé décentralisé de la Fondation.
KYC et confidentialité
La création de compte ne demande rien. Pas de formulaire d'inscription, pas de vérification d'e-mail, pas de code SMS — l'appareil génère une paire de clés, la moitié publique devient votre Account ID, la moitié privée reste sur l'appareil. Il n'y a aucun serveur central à assigner en justice parce qu'il n'y a aucun serveur central : les messages sont mis en file d'attente sur des service nodes en rotation et le client utilise des onion requests, de sorte qu'aucun nœud ne voit les deux extrémités d'une conversation. Les clients sont publiés sous GPLv3 avec des portions sous BSD/MIT, et l'arbre des sources est auditable publiquement sur GitHub. Quarkslab a audité Session en 2020–2021 sur desktop, iOS et Android, identifiant 16 problèmes ; un seul a été qualifié de sévère (une faille de vérification TLS dans la résolution Android des service nodes) et tous ont été corrigés pendant la période d'audit.
Forces et limites
Le point le plus fort est structurel : pas de numéro de téléphone à fuiter, pas d'e-mail à corréler, aucun opérateur que l'on puisse contraindre à livrer une table d'utilisateurs puisque cette table n'existe pas. La gouvernance compte aussi. Quand la police fédérale australienne a commencé à frapper aux portes et que l'e-Safety Commissioner local a poussé pour des règles de rétention sectorielles, l'OPTF s'est retiré en octobre 2024 et la Session Technology Foundation a pris le relais depuis la Suisse. Les limites sont réelles. L'Account ID de 66 caractères est une taxe ergonomique — il n'est pas mémorisable et il faut le partager via QR code ou canal hors-bande — et la minimisation des métadonnées de Session a un coût fonctionnel : les notifications push iOS peuvent être erratiques, les appels voix et vidéo restent en maturation, et l'audit Quarkslab a maintenant quatre ans, sans suivi publié. La crypto-monnaie qui rémunère les service nodes, OXEN, fluctue indépendamment des garanties de confidentialité du messager mais mérite d'être connue.
Verdict
Session est ce vers quoi on se tourne quand on ne veut pas qu'un numéro de téléphone traîne dans la base de quelqu'un. Ce n'est pas l'application de messagerie la plus fluide — Signal garde l'avantage sur la qualité d'appel et la fiabilité — mais sur la métrique que le projet a choisie, la fuite de métadonnées, c'est la réponse la plus rigoureusement conçue parmi les clients grand public. Note : A- (8,9/10). Confiance : LEGIT.
Session est ce vers quoi on se tourne quand on ne veut pas qu'un numéro de téléphone traîne dans la base de quelqu'un. Ce n'est pas l'application de messagerie la plus fluide, mais sur la fuite de métadonnées, c'est la réponse la plus rigoureusement conçue parmi les clients grand public. Note : A- (8,9/10). Confiance : LEGIT.
