Mathieu
Après quelques jours mouvementés, faisons le point sur l’état actuel de Twitter. La capitulation à haut risque face au gouvernement turc et l’arrivée d’un nouveau PDG ont suscité beaucoup de questions ce week-end. Pendant ce temps, une introduction difficile des messages cryptés sur le site a soulevé des questions sur le moment où, si jamais, le produit peut être considéré comme véritablement sécurisé.
Commençons par les messages cryptés, où l’approche de développement de produits prête-feu-tire d’Elon Musk a encore une fois conduit à un lancement chaotique des fonctionnalités. La semaine dernière, Twitter a lancé des messages directs cryptés, un projet que la société explore depuis au moins 2018 et que Musk évoque depuis novembre. Le cryptage, qui est gratuit sur des applications comme WhatsApp, Messenger et Signal, n’est disponible sur Twitter que pour les abonnés payants. Dans des tweets, Musk a promis que la fonctionnalité “se développerait rapidement en sophistication”, et a noté : “le test de l’acide est que je ne pourrais pas voir vos messages directs même s’il y avait un pistolet sur ma tempe”. Ce n’est pas encore là, car ces messages ne sont pas cryptés de bout en bout, les rendant vulnérables aux attaques de type “homme du milieu”.
En utilisant des messages directs cryptés sur Twitter, vous devrez placer une grande confiance dans la société, mais cela ne couvre pas toutes les vulnérabilités. Le chercheur en sécurité Matthew Garrett nous a expliqué que l’utilisation de messages directs cryptés sur Twitter nécessitera de placer une grande confiance dans l’entreprise. Il l’a expliqué ainsi : selon le système de Twitter, chaque appareil génère une paire de clés cryptographiques, une clé publique et une clé privée. La clé publique est téléchargée sur Twitter et associée à votre compte. Lorsque vous voulez envoyer un message, vous demandez essentiellement à Twitter l’ensemble des clés associées à un utilisateur et vous les utilisez pour décoder le message. Mais que se passe-t-il si quelqu’un chez Twitter ajoutait sa propre clé publique à la liste des clés associées à un utilisateur, ou échangeait l’une des clés de l’appareil de l’utilisateur par la sienne ? Ils auraient alors la clé privée correspondante et pourraient obtenir la clé de chiffrement du message.
Lancé en trombe, le projet de Twitter pour les messages cryptés représente une amélioration modeste de la sécurité par rapport au statu quo, mais les utilisateurs seraient plus en sécurité en utilisant Signal ou WhatsApp. Alors que sur Twitter, Garrett a débattu avec Christopher Stanley, qui a travaillé chez SpaceX et dirige maintenant l’ingénierie de sécurité chez Twitter. Stanley dirige le projet de messages directs cryptés de Twitter. “Un livre blanc sera publié bientôt”, a déclaré Stanley en réponse à ces critiques. “J’ai fait auditer notre implémentation par Trail of Bits. Dan Guido et ces gens sont des badass”. Stanley a ensuite supprimé le tweet probablement parce que, selon des sources de Twitter, l’entreprise n’a même pas signé de contrat avec Trail of Bits. Si vous utilisez des messages directs cryptés sur Twitter, vous feriez mieux d’attendre une meilleure sécurité avant de faire confiance à la société.
Un autre problème concerne l’accès des gouvernements aux messages cryptés. Si nous apprécions que les messages cryptés représentent une tentative de protection de la vie privée, il y a une préoccupation légitime que les gouvernements peuvent avec quelque pression américaine les obliger à divulguer les clés de décryptage qu’ils ont conservées.
Enfin, un dernier point est à noter, Twitter a récemment admis qu’il restreindrait l’accès à certains contenus en Turquie pendant les élections nationales, offrant ainsi une invitation irrésistible aux critiques. Mais lorsque l’on sait que la société est maintenant entre les mains d’Elon Musk et que SpaceX entre sur le marché turc, les utilisateurs de Twitter pourraient craindre de perdre leur liberté d’expression sur cette plateforme.
