Twitter a lancé sa fonctionnalité « Messages directs cryptés » permettant aux abonnés payants de Twitter Blue d’envoyer des messages cryptés de bout en bout à d’autres utilisateurs de la plate-forme.

Le chiffrement de bout en bout (E2EE) utilise des paires de clés privées et publiques pour chiffrer les informations envoyées sur Internet afin que seuls l’expéditeur et le destinataire puissent les lire.

La clé de déchiffrement privée est uniquement stockée sur l’appareil de l’expéditeur et n’est partagée avec personne d’autre. Cependant, la clé de cryptage publique est partagée avec d’autres personnes qui souhaitent vous envoyer des données cryptées.

Comme la clé de déchiffrement privée n’est stockée que sur l’appareil du destinataire local et jamais stockée ailleurs en cours de route, comme sur les serveurs de l’application de messagerie, même si quelqu’un intercepte le message, il ne pourra pas le lire sans la clé de déchiffrement .

Les DM cryptés de bout en bout sur Twitter ont été une fonctionnalité recherchée et massivement demandée qui a été taquinée et retirée en 2018.

En novembre dernier, la chercheuse mobile Jane Manchun Wong a remarqué que le code source de Twitter pour Android faisait allusion à un travail de mise en œuvre d’un système E2EE, Elon Musk confirmant pratiquement les soupçons.

Près de six mois plus tard, Twitter a officiellement annoncé aujourd’hui la disponibilité d’une fonctionnalité de messages cryptés sur la dernière version des applications Twitter pour iOS et Android et sur la plate-forme Web.

Sur la base des détails de l’annonce, qui mentionne l’utilisation d’une clé privée générée par l’appareil et d’une clé publique fournie de manière centralisée, Twitter a mis en place un schéma de chiffrement asymétrique.

« La clé publique est automatiquement enregistrée lorsqu’un utilisateur se connecte à Twitter sur un nouvel appareil ou navigateur ; la clé privée ne quitte jamais l’appareil et n’est donc jamais communiquée à Twitter », explique une page d’assistance Twitter pour la fonctionnalité.

« En plus des paires de clés privées-publiques, il existe une clé par conversation qui est utilisée pour chiffrer le contenu des messages. »

Bien qu’aucun détail spécifique ou technique comme les algorithmes de chiffrement employés n’ait été divulgué, Twitter a promis d’ouvrir la source de son implémentation E2EE et de publier un livre blanc détaillé plus tard en 2023.

Uniquement disponible pour les abonnés Twitter Blue
À la déception de beaucoup, cette nouvelle option de sécurité ne sera disponible que pour les utilisateurs qui paient pour un badge « vérifié », les deux participants à la conversation devant être abonnés à Twitter Blue ou affiliés à une organisation vérifiée pour que leurs messages soient cryptés.

L’interface de discussion des utilisateurs éligibles propose désormais une bascule « Messages directs cryptés » afin qu’ils puissent facilement changer de mode à tout moment.

Les utilisateurs peuvent reprendre les conversations existantes en mode E2EE en entrant dans l’échange de messages précédent, en cliquant sur l’icône d’information, puis en sélectionnant « Démarrer un message crypté ».

Les utilisateurs de Twitter « gratuits » n’auront pas la possibilité d’utiliser des « messages directs cryptés », par défaut les communications non cryptées standard.

En plus d’exclure les utilisateurs non payants, Twitter a également informé de certaines limitations, telles que l’impossibilité d’envoyer des messages cryptés à des groupes, la prise en charge uniquement du texte et des liens (pas de média), l’interdiction de nouveaux appareils pour rejoindre des conversations cryptées existantes, et uniquement permettant un maximum de 10 appareils enregistrés par utilisateur.

Twitter note également que la sécurité de la clé privée, qui reste sur l’appareil à tout moment, est cruciale pour protéger l’intégrité du nouveau système de messagerie E2EE.

En effet, si un attaquant vole cette clé, il peut l’utiliser pour déchiffrer tous les messages chiffrés envoyés et reçus par l’appareil piraté.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *