Depuis début mars 2026, chaque appel vocal ou vidéo passe en chiffrement de bout en bout sur Discord, sans réglage à activer. Mark Smith, vice-président technologie de Discord, vient de confirmer l'achèvement de cette migration avec une exception qui échappe au dispositif.

Une icône de cadenas vert, visible dans les détails vocaux sur ordinateur ou en haut à gauche de l'écran d'appel sur mobile, confirme l'état du chiffrement - ©Thrive Studios ID / Shutterstock
Une icône de cadenas vert, visible dans les détails vocaux sur ordinateur ou en haut à gauche de l'écran d'appel sur mobile, confirme l'état du chiffrement - ©Thrive Studios ID / Shutterstock

Le protocole maison s'appelle DAVE, pour Discord Audio & Video End-to-End Encryption. Stephen Birarda et Clément Brisset, les deux ingénieurs en charge, ont fait les choses en douceur, sur trois ans. D'abord les premiers appels chuffrés dès septembre 2024 sur ordinateur et mobile. Puis une extension du protocole en 2025, aux navigateurs web et aux consoles de jeu, PlayStation et Xbox comprises. Désormais, les messages privés, les messages privés de groupe, les canaux vocaux des serveurs et les diffusions Go Live basculent tous en E2EE. Personne en dehors des participants ne peut écouter une conversation, même pas Discord, qui emboîte donc le pas à WhatsApp, alors qu'Instagram a finalement mis fin au dispositif.

Discord chiffre tout, sauf les métadonnées

Lorsque vous êtes en conversation avec quelqu'un sur Discord, personne n'a accès au son ni à l'image de l'appel, excepté vos interlocuteurs et vous. Discord lui-même ne peut rien entendre ni voir. En revanche, tout ce qui entoure l'appel reste visible. Discord sait qu'un appel a lieu, qui y participe, combien de temps il dure et à quelle fréquence vous appelez. Dans le livre blanc de DAVE, ces métadonnées sont placés en dehors de ce que le chiffrement protège. Un observateur peut donc reconstituer qui parle à qui, quand et combien de temps, sans jamais entendre un mot.

Les messages texte échappent aussi au chiffrement de bout en bout. « Aucun projet n'existe pour étendre l'E2EE aux messages écrits », explique Mark Smith dans son billet d'annonce. Et c'est dû au fonctionnement de la plateforme. De nombreuses fonctionnalités exigent un texte lisible côté serveur, et la modération de contenu en dépend directement. Discord garde donc un accès au texte, mais plus à la voix et à la vidéo.

Dans le ventre de la bête, DAVE fait travailler ensemble deux technologies. L'API WebRTC encoded transform chiffre les trames audio et vidéo après l'encodage. Le protocole Messaging Layer Security gère les clés de groupe. Chaque participant détient une clé symétrique propre à l'expéditeur. Seuls quelques en-têtes de codec circulent en clair, le minimum nécessaire au transport des paquets.

La fin du repli non chiffré, et l'exception des Stage

Jusqu'ici, un appel pouvait retomber sur une connexion non chiffrée quand un participant utilisait un client trop ancien. Discord supprime maintenant le code qui autorisait ce repli. Une fois ce retrait achevé, un appel ne pourra plus redescendre vers une connexion non protégée. Tous les clients doivent prendre en charge DAVE avant de rejoindre un appel, sous peine d'en être écartés.

Reste une exception, les canaux Stage. Discord les destine à la diffusion d'un petit nombre d'intervenants vers une large audience, par exemple un événement en direct ou une session AMA. Ils ne basculent pas en E2EE. Le chiffrement de bout en bout concerne les conversations privées, ce format n'en relève pas.

Discord a fait auditer la conception et l'implémentation par Trail of Bits, une société de sécurité indépendante, puis a publié les résultats. La bibliothèque libdave est open source sous licence MIT. Le programme de bug bounty inclut le protocole et récompense les rapports de vulnérabilité.

L'audit a tout de même signalé un choix technique. Discord a écrit DAVE en C++, un langage sans gestion mémoire sécurisée, retenu pour viser les consoles de jeu. Selon Trail of Bits, ce langage pose des problèmes de sécurité mémoire, et l'entreprise gagnerait à migrer vers un autre à terme. Le rapport référence aussi une faille notée TOB-DISCE2EC-7. Un attaquant doté d'un accès au trafic réseau pourrait modifier certaines plages de données et faire planter le client destinataire. Discord a documenté ces remarques directement dans le livre blanc.

En tant qu'utilisateur, vous n'avez rien à régler. Une icône de cadenas vert, visible dans les détails vocaux sur ordinateur ou en haut à gauche de l'écran d'appel sur mobile, confirme l'état du chiffrement.

Discord revendique 200 millions d'utilisateurs actifs chaque mois.

Source : Bleeping Computer

Discord
  • Chat vocal, visuel et écrit
  • Un outil employé à la fois pour les loisirs et le travail
  • L’option la plus populaire
Télécharger