Lancement des DM cryptés sur Twitter, mais uniquement pour les utilisateurs payants, et pas de cryptage E2E

Lancement des DM cryptés sur Twitter, mais uniquement pour les utilisateurs payants, et pas de cryptage E2E

Les DM chiffrés de Twitter ont été officiellement lancés – mais uniquement entre utilisateurs payants, et la fonction de sécurité n’est pas encore disponible être à la hauteur de la promesse de Musk utiliser le cryptage de bout en bout (E2E) pour une confidentialité totale.

L’entreprise le reconnaît dans un document de support, et même Musk lui-même dit qu’il ne faut pas lui faire confiance…

Arrière-plan

La plupart des services de messagerie utilisent le cryptage E2E. Cela inclut iMessage, FaceTime, WhatsApp, Signal, Telegram, Viber – et Facebook Messenger si vous activez l’option Messages secrets.

Le cryptage E2E indique que seuls les participants au message disposent de la clé, de sorte que personne d’autre ne peut lire le contenu. Cela inclut la société qui exploite le service, donc Apple, par exemple, ne peut lire aucun de vos iMessages, même s’il est présenté avec une ordonnance du tribunal.

Lancement des DM cryptés sur Twitter – sans E2E

Jusqu’à présent, les messages Twitter n’ont été chiffrés sous aucune forme, et encore moins E2E. Musk a promis de résoudre ce problème, déclarant que « le test décisif est que je ne pouvais pas voir vos DM même s’il y avait un pistolet sur ma tête ». La seule façon d’y parvenir est d’utiliser le cryptage E2E.

Le responsable de l’ingénierie de la sécurité, Christopher Stanley, a annoncé ce qu’il a appelé la « phase 1 » des DM chiffrés – qui ne sont pas chiffrés E2E.

Super excité à l’idée de lancer la phase 1 de notre projet de DM crypté ! Twitter cherche à être la plate-forme la plus fiable sur Internet, et les messages directs cryptés en sont une partie importante.

Comme l’a dit Elon Musk, en ce qui concerne les messages directs, la norme devrait être que si quelqu’un nous pointe une arme sur la tête, nous ne pouvons toujours pas accéder à vos messages. Nous n’en sommes pas encore là, mais nous y travaillons. En attendant, voici le message direct crypté que nous publions – une nouvelle façon de communiquer sur Twitter qui apparaîtra comme des conversations séparées, à côté de vos messages directs existants dans votre boîte de réception.

Les commentateurs ont immédiatement commencé à le noter, ainsi que autres limites.

Twitter a lancé des DM chiffrés* pour les comptes vérifiés.

  • Pas de synchronisation
  • Pas de discussions de groupe
  • Pas de pièces jointes
  • Pas de minuterie
  • Vulnérable au MITM
  • Pas de signalement (affranchissement msg)
  • Pas de secret de transmission
  • Pas de transparence des clés
  • Les clés privées ne sont PAS effacées après la déconnexion du Web

De plus, le cryptage n’est pas la valeur par défaut : vous devez l’activer pour chaque message.

Même Musk dit que vous ne devriez pas lui faire confiance :

La prochaine étape ne sera toujours pas le cryptage E2E

de Twitter pièce justificative reconnaît la protection limitée offerte à ce stade.

Actuellement, nous n’offrons pas de protection contre les attaques man-in-the-middle. Par conséquent, si quelqu’un – par exemple, un initié malveillant ou Twitter lui-même à la suite d’une procédure judiciaire obligatoire – venait à compromettre une conversation cryptée, ni l’expéditeur ni le destinataire ne le sauraient.

Il dit que la société travaille là-dessus, mais même ici, elle ne promet pas de cryptage E2E (nous soulignons):

Cependant, nous travaillons sur des mécanismes pour une future version qui :

  • permettre aux dispositifs de vérifier l’authenticité du contenu et l’origine du message (via des « contrôles de signature ») ; et
  • permettre à une paire d’utilisateurs de vérifier les appareils qui ont accès à leur conversation cryptée (via des « numéros de sécurité »)

Lorsque les vérifications de signature et les numéros de sécurité sont mis en œuvre, les attaques de l’homme du milieu devraient être difficiles, voire impossibles, et les expéditeurs et les destinataires devraient être alertés en cas d’attaque.

Avis de Netcost-security.fr

C’est un petit pas dans la bonne direction. Les DM cryptés seront certainement plus sûrs que ceux en texte brut.

Cependant, c’est très loin de ce que Musk a promis, et même les plans futurs de l’entreprise ne mentionnent pas le cryptage E2E – à la place, juste une approche de compromis qui augmente encore la sécurité, mais ne la garantit pas.

Nous ne voyons aucune bonne raison pour que Twitter n’offre pas un cryptage E2E complet pour correspondre à iMessage d’Apple et à la plupart des autres plates-formes de messagerie.

De plus, bien que toute entreprise soit libre de payer toutes les fonctionnalités qu’elle souhaite, il est dans l’intérêt de tous de ne pas le faire pour les fonctionnalités de confidentialité et de sécurité. Même un abonné Twitter Blue ne pourra pas envoyer de messages cryptés lorsqu’il envoie un message à un non-abonné, et c’est presque tout le monde sur Twitter.

Image : Shubham Dhage/Unsplash


Détente, découvrez l’évolution du nombre de smartphones vendus par marque au fil du temps dans la vidéo ci-dessous :

YouTube video