Promis de longue date, le chiffrement des messages privés sur Twitter est là. Et, pas n’importe lequel : il s’agit du chiffrement de bout en bout, un procédé qui évite que des tiers puissent lire les messages échangés. Même Twitter, même le fournisseur d’accès à Internet, même la police ne peut pas y accéder sans la clé de déchiffrement, qui reste secrète.
Une bonne nouvelle pour celles et ceux qui craignaient pour la confidentialité de leur correspondance privée. Les messages privés sur Twitter n’ont jamais eu droit à cette fonctionnalité. Cette protection a été envisagée pendant quelque temps par les anciennes équipes du réseau social, notamment dans les mois et les années qui ont suivi les révélations d’Edward Snowden.
Ce faisant, Elon Musk a tenu l’engagement qu’il avait formulé au printemps 2022, lorsqu’il s’est lancé dans le rachat du réseau social. Toutefois, ce que vient de déployer le site communautaire n’est pas le nec-plus-ultra de ce qui se fait en matière de chiffrement de bout en bout. C’est ce que révèle Wired dans son édition du 11 mai 2023.
Des limites considérables dans les messages privés chiffrés sur Twitter
En fait, le chiffrement de bout en bout made in Twitter est aujourd’hui très limité et décevant.
- Le dispositif n’est pas activé par défaut pour les internautes ;
- Il doit être activé dans les paramètres, si l’on connaît son existence ;
- Un abonnement Twitter Blue (9,6 euros par mois) est requis pour y avoir accès ;
- Le correspondant doit aussi être un membre de Twitter Blue qui a activé (opt in) le chiffrement de bout en bout ;
- Il ne fonctionne pas pour les discussions de groupe ;
- Il ne fonctionne pas pour l’envoi de photos ou de vidéos ;
- Il ne gère pas la confidentialité persistante (perfect forward secrecy), une propriété cryptographique qui protège les futurs messages même en cas de fuite de la clé de déchiffrement ;
- Il n’est pas en mesure de s’opposer à certaines attaques dites de « l’homme du milieu » (man-in-the-middle), où Twitter usurperait l’identité de ses membres pour intercepter leurs messages.
De cette liste découle une conclusion féroce du magazine américain : l’option « ressemble presque à une liste de tous les défauts les plus graves de toutes les applications de messagerie chiffrée de bout en bout existantes, désormais réunies en un seul produit — avec quelques défauts supplémentaires qui lui sont propres ».
On est en tout cas loin des standards existants au sein de messageries telles que WhatsApp et Signal, qui sont beaucoup plus étoffées et avancées sur ce terrain. Sollicité à ce sujet par nos confrères, le professeur en cryptographie Matthew Green a reconnu que Twitter est encore en retard sur le chiffrement de bout en bout en matière de sécurité et de fonctionnalités.
Aujourd’hui, le mètre-étalon du chiffrement de bout en bout pour des applications ouvertes au grand public est le protocole Signal, développé par Open Whispers System. Il est salué depuis des années par les spécialistes en sécurité informatique. Signe de sa qualité, il est utilisé par WhatsApp, Skype, Facebook Messenger ou bien Google Messages.
Il y a encore du pain sur la planche
Mais, l’universitaire veut voir aussi le verre à moitié plein. D’accord, l’option est très frustrante et comporte des faiblesses. Cela ne restera sans doute pas en l’état très longtemps. « Sur une positive, c’est un premier pas, et peut-être que les choses s’amélioreront », a-t-il dit. C’est toujours mieux que rien. Il faut se souvenir que ce mécanisme n’existait pas sur Twitter jusqu’à présent.
Elon Musk, justement, a présenté ce déploiement comme une version une (« DMs V1.0 »). Il a promis que « la sophistication de cette fonctionnalité va s’accroître rapidement ». Le but, selon Musk, c’est de parvenir à un degré de sécurité où il ne pourrait rien faire pour voir les messages privés des internautes, même si on lui pointait un pistolet sur la tempe.
Certaines limites du chiffrement de bout en bout déployé par Twitter ne seront jamais corrigées. C’est le cas de la confidentialité persistante. La raison ? Twitter n’est pas parvenu à s’en servir tout en conservant d’autres fonctionnalités bien commodes, comme la possibilité de retrouver ses tweets quand on se connecte depuis un nouvel appareil. Ici, Twitter a dû renoncer.
Interrogée par nos confrères, Riana Pfefferkorn, chercheuse en sécurité à l’université Stanford, y voit le signe « d’un déploiement précipité d’un produit qui n’est pas encore tout à fait au point ». Le problème, néanmoins, est ailleurs. Si Twitter admet des limites aujourd’hui, l’experte n’imagine pas le public se pencher sur ce genre de subtilité. Des internautes croiront que tout va bien.
Faut-il s’abstenir d’utiliser la messagerie chiffrée de Twitter, alors ? Compte tenu des conditions d’accès, nombre d’internautes n’auront pas besoin de répondre à la question : ils ne seront pas éligibles, faute d’inscription à Twitter Blue. Cette restriction est très regrettable, d’ailleurs, car elle prive la majorité des internautes d’une protection efficace contre le piratage.
En l’état, l’avis des experts est plutôt de passer par Signal ou WhatsApp pour ses échanges les plus personnels, confidentiels ou sensibles.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !