Alors que le chiffrement de bout en bout est effectivement un enjeu pour la plupart des services de messagerie, Twitter est resté à la traîne en ce qui concerne l’introduction du chiffrement dans son système de messagerie directe privé. La bonne nouvelle est que cela change lentement, mais avec la façon dont Twitter évolue ces derniers temps, il est difficile de savoir s’il faut célébrer cela ou s’inquiéter.
Les communications utilisant iMessage d’Apple sont cryptées de bout en bout depuis Apple a lancé le service en 2011, ce qui signifie que les messages en transit ne peuvent être lus que par l’expéditeur et le destinataire. iMessage a été l’un des premiers services de messagerie grand public à offrir ce niveau de sécurité, même si ce n’est que récemment qu’Apple a pris des mesures supplémentaires pour s’assurer que les conversations iMessage étaient également chiffrées”au repos”dans vos sauvegardes iCloud.
D’autres services de messagerie, y compris le trifecta de Meta de Facebook Messenger, Instagram et WhatsApp, sont venus à la fête un peu plus tard, mais ils prennent en charge le chiffrement de bout en bout (E2EE) sous diverses formes depuis plusieurs années maintenant. Même Google adopte E2EE dans son application de messagerie basée sur RCS pour Android.
En revanche, Twitter n’avait apparemment aucun plan solide pour le cryptage de bout en bout de ses messages directs jusqu’à ce qu’Elon Musk prenne la barre l’année dernière., Il a joué avec l’idée en 2014 mais a apparemment abandonné ces tentatives sans explication. La chercheuse Jane Manchung Wong a trouvé des preuves d’un possible renouveau de la technologie en 2018, mais cela ne s’est jamais concrétisé. Certains ont également suggéré qu’il ne s’agissait peut-être que de restes de la tentative précédente de 2014.
Par conséquent, de nombreuses personnes étaient sceptiques lorsque Musk a promis d’amener E2EE aux messages directs dans le cadre de sa vision de”Twitter 2.0. ” Cependant, il y avait des raisons d’être au moins prudemment optimistes; L’ambition de Musk est de faire de Twitter une plate-forme de messagerie dominante, et il est juste de dire que l’E2EE sera une étape nécessaire pour atteindre cet objectif. Qu’il y parvienne finalement est une autre question, mais la mise en œuvre d’E2EE n’est pas aussi difficile à réaliser que la domination mondiale complète.
Cryptage de bout en bout dans le bleu
Christopher Stanley, ingénieur en sécurité de Twitter, a annoncé aujourd’hui que Twitter avait commencé une”phase 1″de déploiement de messages directs chiffrés.
Super excité à l’idée de lancer la phase 1 de notre projet de DM crypté !
Twitter cherche à être la plate-forme la plus fiable sur Internet, et les messages directs cryptés sont une partie importante de ce. Comme l’a dit Elon Musk, en ce qui concerne les messages directs, la norme devrait être, si…
— Christopher Stanley (@cstanley) 10 mai 2023
Bien que le système semble être entièrement fonctionnel, il n’est pas sans quelques limitations importantes. Le principal d’entre eux est que vous devrez être un utilisateur Twitter”vérifié”pour y accéder-c’est-à-dire quelqu’un avec une coche bleue à côté de leur nom.
Il était une fois, la coche bleue signifiait que vous étiez une personne d’une certaine notoriété, comme un journaliste, une célébrité ou quelqu’un qui pourrait être assez populaire pour être usurpé sur Twitter. Cependant, ce système de vérification a toujours été un gâchis lorsqu’il s’agissait de personnes autres que celles qui étaient clairement des célébrités de premier plan, et Musk s’efforce de le supprimer progressivement depuis qu’il a pris la relève.
Au lieu de cela , une coche bleue représente désormais une personne qui paie 8 $ par mois pour être membre de Twitter Blue. Cela s’accompagne de plusieurs avantages, tels que moins de publicités et la possibilité de modifier des tweets et d’écrire efficacement des essais sur Twitter-des tweets d’une longueur maximale de 10 000 caractères au lieu des 280 habituels.
Les membres de Twitter Blue reçoivent également”statut”vérifié”tant que leur compte répond à certains critères d’éligibilité ; cela revient essentiellement à avoir un compte qui existe depuis plus d’un mois, qui semble appartenir à un humain et qui a été utilisé de manière responsable.
Étant donné qu’il ne s’agit que de la première phase du déploiement, il n’est pas clair si Twitter prévoit de limiter le chiffrement de bout en bout à ses seuls membres payants, mais c’est ainsi que cela fonctionne pour le moment : l’expéditeur et le destinataire doivent être des utilisateurs vérifiés pour accéder à E2EE pour les messages directs. Sinon, vous êtes coincé à échanger des DM à l’ancienne”en clair”.
Les utilisateurs affiliés à organisations vérifiées sont également éligibles pour utiliser le nouveau E2EE fonctionnalité, mais c’est encore plus compliqué puisque l’organisation doit débourser 1 000 $/mois juste pour devenir une organisation vérifiée en premier lieu, plus 50 $/mois supplémentaires pour chaque personne qu’elle souhaite inviter en tant qu’affilié.
Le déploiement E2EE est à un stade très préliminaire, et à ce stade, il manque également la prise en charge de fonctionnalités telles que les messages de groupe et les médias enrichis. Les métadonnées des messages restent également non cryptées à ce stade, et Twitter note que le cryptage n’est pas aussi solide qu’il devrait l’être car il manque le type de vérifications de signature et de numéros de sécurité qui empêcheraient les attaques de l’homme du milieu d’intercepter les conversations cryptées..
C’est bien en deçà de la norme”si quelqu’un nous pointe une arme sur la tempe, nous ne pouvons toujours pas accéder à vos messages”qu’Elon Musk a promis. L’équipe de Twitter admet qu’elle n’en est”pas encore là”, mais qu’elle y travaille.
En fin de compte, il est juste de dire que cette implémentation devrait être considérée comme un test”bêta”de l’E2EE système sur lequel Twitter continuera à itérer. Espérons que Musk soit également d’accord avec la position d’Apple selon laquelle”la vie privée est un droit humain fondamental”, et c’est également le cas avec qui a accès à la messagerie cryptée.