nostr.blog
ApprendreGlossaire
Obtiens ton @nostr.blog→
nostr.blog

Votre identité décentralisée sur Nostr. Une adresse, des zaps et un lecteur propre.

ProduitAccueilObtenez votre @nostr.blogTableau de bord
ApprendreStudyGlossaire
Mentions légalesConditionsConfidentialité
© 2026 nostr.blog. Identité à protocole ouvert pour le web décentralisé.
Accueil›Study›Premiers pas›Nostr est-il sûr ? Confidentialité et sécurité, honnêtement
Premiers pas

Nostr est-il sûr ? Confidentialité et sécurité, honnêtement

Ce que Nostr protège, ce qu'il divulgue, et les modèles de menace spécifiques qu'il gère bien ou mal. Une évaluation de sécurité franche en 2026.

byEgor·23 déc. 2025·8 min de lecture

« Nostr est-il sûr » est une question chargée parce que « sûr » signifie différentes choses. Sûr contre la suppression de votre compte ? Oui. Sûr contre les spammeurs ? Seulement partiellement. Sûr contre un gouvernement qui retrace vos messages ? Cela dépend de ce que vous faites. Sûr de ne pas perdre le compte ? Seulement si vous sauvegardez correctement la clé privée.

Ce guide est l'évaluation franche. Nous couvrons ce que Nostr protège, ce qu'il divulgue, et comment l'utiliser si des menaces spécifiques vous préoccupent.

Réponse courte. Nostr est cryptographiquement solide ; le protocole lui-même n'est pas pirateable à distance. Votre clé privée est la seule surface d'attaque qui vaut vraiment la peine de s'inquiéter. Les messages publics sont publics par conception. Les DM sont chiffrés mais pas privés en termes de métadonnées. Nostr est plus sûr que la plupart des plates-formes contre les suppressions, et comparable ou pire contre le spam et le harcèlement.

Quand vous êtes prêt, prenez votre adresse @nostr.blog →

Ce que Nostr protège cryptographiquement

Trois choses, avec des garanties fortes.

La contrefaçon de vos messages. Chaque événement que vous signez est signé avec votre clé privée. Aucune autre partie ne peut produire un événement qui se vérifie par rapport à votre clé publique sans avoir la clé privée. Tout client qui voit un événement contrefait avec une mauvaise signature le supprime silencieusement. C'est la même cryptographie que Bitcoin utilise pour les transactions ; elle a tenu bon face à une pression adversariale pendant plus d'une décennie.

La modification de vos messages en transit. Un relais ne peut pas modifier l'un de vos événements signés ; la signature serait cassée. Ils peuvent refuser de servir vos événements, mais ils ne peuvent pas les modifier. Chaque client vérifie les signatures avant d'afficher quoi que ce soit.

Votre identité étant « fermée » par une plateforme. Il n'y a pas de plateforme pour la fermer. Votre identité est une paire de clés sur votre appareil. Personne n'a l'autorité pour la désactiver.

Ces trois points sont étanches. Les points faibles se trouvent ailleurs.

Ce que Nostr ne protège pas

Plusieurs choses, avec des degrés d'exposition variables.

Les messages publics sont publics

Si vous écrivez un événement kind:1 (un court message), il est intentionnellement lisible par quiconque se connecte à un relais qui le contient. Aucune confidentialité. C'est une caractéristique d'un réseau social, pas un défaut, mais les nouveaux utilisateurs oublient parfois que « décentralisé » ne signifie pas « privé ».

Votre adresse IP divulgue vers les relais

Quand votre client ouvre une connexion WebSocket à un relais, le relais voit votre IP. Au cours d'une session de lecture, le relais voit les filtres auxquels vous vous êtes abonnés, ce qui leur dit quels comptes vous suivez, quels hashtags vous regardez, quels fils de messages directs vous lisez. C'est des métadonnées sur vos intérêts, et c'est visible pour tous les relais auxquels vous vous connectez.

Atténuations : exécutez Nostr via un VPN ou Tor. Utilisez différents relais pour lire et écrire. Choisissez les relais en lesquels vous avez confiance. Certains clients (Amethyst, Coracle) gèrent cela mieux que d'autres.

Les métadonnées des messages directs sont visibles

Les DM de Nostr chiffrent le contenu du message. Selon la norme NIP-04 héritée, l'expéditeur et le destinataire sont clairement visibles dans les balises d'événement. Selon la plus récente NIP-44 (avec les gift-wraps NIP-17), les métadonnées sont obscurcies mais l'adoption est partielle en 2026.

Ce que cela signifie pratiquement : un relais peut voir que alice@nostr.blog parle à bob@nostr.blog même s'il ne peut pas lire ce qu'ils disent. Pour une communication vraiment privée, utilisez un outil dédié comme Signal ; les DM de Nostr conviennent aux échanges ordinaires mais pas aux lanceurs d'alerte.

Votre modèle de publication peut vous déanonymiser

Même si vous exécutez une identité Nostr pseudonyme, les schémas dans le moment où vous postez, ce que vous postez et avec qui vous interagissez peuvent affiner votre identité. C'est vrai pour tous les réseaux sociaux ; Nostr n'a pas pire ou meilleure exposition ici.

La déanonymisation du monde réel provient généralement du cross-posting. Si vous postez une photo sur votre compte Nostr pseudonyme et que la même photo apparaît sur un compte Twitter identifié, les deux sont maintenant liés. La discipline pour maintenir une pseudonymité stricte est le travail de l'utilisateur, pas celui du protocole.

La plus grande menace réelle : perdre votre clé privée

En pratique, l'attaque qui importe le plus pour les utilisateurs typiques de Nostr n'est pas un pirate informatique, un gouvernement ou une plateforme. C'est la perte de leur nsec.

Des scénarios qui se produisent chaque semaine dans l'écosystème :

  • L'utilisateur génère des clés, suppose que le Keychain iOS les a, ne les exporte jamais. L'appareil s'efface ; le compte est parti.
  • L'utilisateur enregistre nsec dans iCloud Notes « temporairement ». Oublie. Les notes iCloud sont lisibles par Apple, donc techniquement la nsec est sauvegardée, mais chez un fournisseur compromis. Pire, l'utilisateur oublie où elle se trouve.
  • L'utilisateur colle nsec dans un nouveau site Web Nostr qui promettait de le « connecter ». Le site était un site de phishing. Compte compromis.

La défense est un gestionnaire de mots de passe avec un libellé clair, une sauvegarde papier dans un endroit sûr, et ne jamais coller la nsec dans rien d'autre qu'un client Nostr en lequel vous avez confiance. Notre guide de sauvegarde contient la procédure complète.

Commencer

Obtenez votre identité Nostr en 2 minutes

  • •Votre propre adresse @nostr.blog, vérifiée partout
  • •Portefeuille Lightning intégré pour envoyer et recevoir des zaps
  • •Client complet au même endroit : fil, notifications, DM, médias, relais

À partir de 2,99 $/an.Les noms premium plus courts coûtent plus.

Commencer avec nostr.blog→

Spam et harcèlement sur Nostr

Évaluation honnête : le spam et le harcèlement sont des problèmes réels sur Nostr, à des niveaux comparables ou légèrement pires que sur les plates-formes centralisées.

Pourquoi : Nostr n'a pas d'équipe de modération centrale. Chaque relais et client applique ses propres filtres. La détection du spam est construite par la communauté, pas fournie par la plateforme. Les nouveaux utilisateurs en voient plus que sur une plateforme organisée.

Défense : listes de silence, filtres de contenu, notation web-of-trust. Chaque client grand public a ceux-ci. Les mettre en place prend quelques minutes et rend l'utilisation quotidienne beaucoup plus propre. Les paramètres par défaut dans les bons clients (Damus, Primal, Amethyst, notre propre client) sont livrés avec un filtrage de spam sensé activé.

Le compromis : un utilisateur qui veut une exposition nulle au contenu non filtré est légèrement pire sur Nostr que sur une plateforme fortement modérée. Un utilisateur qui veut contrôler ce qui est filtré est mieux lotis.

Qui ne devrait pas utiliser Nostr

Certains profils de menace ne sont pas bien servis.

Les utilisateurs qui ont besoin de la confidentialité complète des métadonnées pour la communication. Signal est l'outil approprié ; Nostr ne l'est pas. Les DM de Nostr cachent le contenu mais pas qui-parle-à-qui.

Les utilisateurs qui doivent être impossibles à tracer à une identité du monde réel dans des conditions hautement adversariales. Si un acteur au niveau des États-nations essaie activement de vous déanonymiser, Nostr seul ne suffit pas. Combinez avec Tor, utilisez des appareils dédiés, maintenez une hygiène de publication stricte.

Les utilisateurs qui dépendent de la modération au niveau de la plateforme pour se sentir en sécurité en ligne. Nostr met les outils de modération entre vos mains ; si vous ne voulez pas cette responsabilité, une plateforme avec une modération professionnelle est un meilleur choix.

Les utilisateurs ayant des exigences réglementaires spécifiques. Certains secteurs réglementés exigent des pistes d'audit, la modération du contenu ou des garanties de résidence des données qu'un protocole décentralisé ne peut pas fournir par défaut.

Étapes concrètes pour utiliser Nostr en toute sécurité

Pour un utilisateur typique qui se soucie de la confidentialité et de la sécurité raisonnables :

  1. Sauvegardez la nsec dans un gestionnaire de mots de passe avec chiffrement E2E dès que vous la générez.
  2. Ne collez jamais la nsec dans un formulaire de site Web ou un chat. Utilisez les extensions de navigateur NIP-07 pour les clients Web ; utilisez Amber ou le stockage Keychain intégré pour les clients mobiles.
  3. Choisissez les relais en lesquels vous avez au moins une confiance minimale. Les listes par défaut des clients majeurs sont raisonnables ; évitez les relais louches trouvés sur un site douteux.
  4. Activez les listes de silence à partir des paramètres de votre client dès le premier jour, afin que le filtrage de spam par défaut soit actif.
  5. Traitez les DM comme « contenu privé, métadonnées publiques » jusqu'à ce que les gift wraps NIP-17 soient universels. Pour les conversations sensibles, utilisez Signal.
  6. Supposez que chaque message public est permanent. Les messages sur Nostr ne peuvent pas être complètement supprimés ; les demandes de suppression atteignent les relais avec une efficacité variable. Réfléchissez avant de poster.

Sous ces habitudes, Nostr est plus sûr que la plupart des plates-formes pour la plupart des utilisateurs. Ce n'est pas un outil de confidentialité au niveau de la salle de panique, et ce n'était jamais présenté comme tel.

Ce qui s'améliore en 2026

Travail actif dans l'écosystème :

  • NIP-44 + NIP-17 gift wraps pour le masquage des métadonnées DM, avec une adoption croissante.
  • Standardisation des listes de silence entre les clients pour que votre travail de filtrage soit portable de façon propre.
  • Options Tor par défaut dans plus de clients.
  • Intégration de signataires matériels pour garder la nsec hors de votre appareil principal.

Aucune de celles-ci n'est une obligation du protocole ; ce sont des efforts continus de la communauté. La position de sécurité de Nostr en 2026 est meilleure qu'en 2024 et continuera à s'améliorer.

Le verdict réaliste

Nostr est sûr pour ce que la plupart des utilisateurs en font. Poster, lire, suivre, zap, envoyer des messages occasionnellement. Votre identité ne peut pas être prise, vos messages ne peuvent pas être contrefaits, votre clé privée est la seule chose que vous devez protéger.

Ce n'est pas une panacée, un outil d'anonymisation digne d'un thriller d'espionnage, ou un remplacement pour la messagerie chiffrée de Signal. C'est un protocole social bien conçu avec des propriétés de sécurité réelles et des limites réelles, et l'un ou l'autre ensemble de propriétés pourrait vous importer selon ce que vous faites.

Commencer

Obtenez votre identité Nostr en 2 minutes

  • •Votre propre adresse @nostr.blog, vérifiée partout
  • •Portefeuille Lightning intégré pour envoyer et recevoir des zaps
  • •Client complet au même endroit : fil, notifications, DM, médias, relais

À partir de 2,99 $/an.Les noms premium plus courts coûtent plus.

Commencer avec nostr.blog→

Questions fréquentes

Quelqu'un peut-il pirater mon compte Nostr ?
Seulement s'il obtient votre clé privée. La nsec est la seule chose qui peut signer des événements en votre nom. Quiconque ayant accès physique à un appareil déverrouillé où vous êtes connecté, ou qui vous incite à coller la nsec dans un site malveillant, peut prendre le contrôle du compte. Sinon, les attaques distantes ne sont pas possibles contre la cryptographie elle-même.
Mes messages Nostr sont-ils privés ?
Non. Les messages publics sont intentionnellement publics, visibles par quiconque se connecte à un relais qui les contient. Les messages directs sont chiffrés (selon NIP-44) mais les métadonnées sur qui envoie des messages à qui sont visibles aux relais. Pour une communication vraiment privée en dehors du système de DM de Nostr, utilisez Signal ou un outil similaire dédié.
Les relais peuvent-ils voir mon adresse IP ?
Oui. Les connexions WebSocket révèlent votre IP au relais auquel vous vous connectez. Exécuter Nostr via un VPN ou Tor cache cela ; la plupart des clients ne le font pas par défaut. Les opérateurs de relais voient votre IP aux côtés de vos filtres d'abonnement, ce qui leur dit quelque chose sur qui vous suivez et ce que vous lisez.
Mon identité Nostr peut-elle être liée à mon vrai nom ?
Seulement si vous la rendez traçable. Rien dans le protocole ne nécessite des vrais noms. Une identité Nostr est une paire de clés générée sur votre appareil ; personne ne sait qui vous êtes à moins que vous ne le disiez, que vous ne postiez sur un compte identifié, ou que vos habitudes de publication correspondent à une personne connue. De nombreux utilisateurs restent pseudonymes indéfiniment.
Nostr est-il plus sûr que Twitter ?
Pour certaines menaces oui, pour d'autres non. Nostr est plus sûr contre les suppressions de compte, les interdictions de plateforme et la modération unilatérale. Twitter est plus sûr contre le spam et le harcèlement en raison de sa modération centralisée. Choisissez les menaces qui vous importent.

À lire aussi

Premiers pas

Qu'est-ce que Nostr ? Un guide en français clair pour 2026

Nostr est un protocole simple et ouvert pour les réseaux sociaux et l'identité. Aucune entreprise ne le gère, aucun compte ne peut être supprimé par quelqu'un d'autre que vous. Explication claire.

7 min de lectureIdentité et NIP-05

Clés Nostr expliquées : votre identité numérique en deux chaînes

Chaque compte Nostr est une paire de clés. L'une que vous partagez, l'autre que vous gardez. Ce qu'elles sont, ce qu'elles font, comment elles sont codées, et comment ne pas les perdre.

10 min de lectureIdentité et NIP-05

Comment sauvegarder vos clés Nostr sans les perdre

Options de sauvegarde concrètes pour votre clé privée Nostr, classées par sécurité. Ce qui fonctionne, ce qui ne fonctionne pas, et les erreurs qui transforment une sauvegarde en perte de compte.

9 min de lectureAvancé et technique

Les messages privés Nostr sont-ils vraiment privés ? La réponse honnête

Les DM Nostr utilisent le chiffrement mais le modèle de confidentialité a des lacunes. Ce que protègent NIP-04, NIP-44 et les gift wraps NIP-17, et quand utiliser Signal à la place.

8 min de lectureAvancé et technique

Comment Nostr gère le spam : les défenses pratiques en 2026

Nostr n'a pas d'équipe de modération, mais le spam n'est pas un problème non résolu. Ce qui fonctionne réellement : la preuve de travail, les relais payants, les filtres de confiance réseau, les listes de silenciation.

9 min de lecture