Le piratage subi par Twitter à la mi-juillet relance le débat sur le chiffrement de bout en bout des messages privés. L'idée est envisagée depuis 2013, mais n'a jamais été concrétisée.

Est-ce l’incident de sécurité de trop, celui qui va enfin convaincre Twitter de mettre en place un niveau de sécurité maximal pour les messages privés ? En tout cas, des voix s’élèvent aux États-Unis pour demander des comptes au réseau social après son piratage massif, survenu à la mi-juillet. Comme le signale Vice, l’absence de chiffrement de bout en bout pour les messages privés est pointée du doigt.

Une idée envisagée dès 2013

C’est pourtant une idée envisagée de longue date par le site communautaire. De très longue date, même. À la suite des révélations d’Edward Snowden sur la surveillance de masse opérée par les services de renseignement américains, il a été rapporté par le New York Times que Twitter planchait sur le chiffrement de bout en bout des messages privés. Nous étions alors en octobre 2013.

Le principe du chiffrement de bout en bout est d’empêcher les tiers d’accéder à un contenu. // Source : Illustration Lucie Benoit pour Numerama

Près de sept ans plus tard, le chiffrement de bout en bout n’existe pas sur Twitter. En 2015, il a été rapporté que des considérations de lutte antiterroriste ont dissuadé l’entreprise américaine d’aller aussi loin dans la sécurisation des données. Selon le patron du FBI à l’époque, les menaces de mort lancées par des extrémistes à l’encontre de la direction et les employés de Twitter ont pesé lourd dans la balance.

Le chiffrement de bout en bout est une technique de cryptographie dont le principe est de faire en sorte que seuls les participants à une conversation puissent lire les messages qu’ils s’échangent. Reposant sur les mathématiques, cette protection interdit à Twitter ou à un tiers quelconque d’y accéder. Il ne serait par exemple pas possible pour Twitter de fournir le contenu d’une messagerie à la justice.

Le piratage de mi-juillet va-t-il changer la donne ?

Dans le cas du piratage survenu mi-juillet, il n’est pas possible d’écarter l’hypothèse que les assaillants qui ont mené la vie dure à Twitter ont pu accéder aux messages privés. On sait que 45 comptes ont été détournés et on sait qu’il a été possible d’envoyer des tweets via ces comptes, dont la particularité est qu’ils étaient tous certifiés. D’où ces nouveaux appels adressés à Twitter pour qu’il active le chiffrement.

Twitter a admis en 2018 qu’il a la possibilité technique d’accéder aux messages privés. Pour autant, il ne s’agit pas de surveiller qui que ce soit. « Nous ne surveillons pas les messages privés de manière proactive. Un nombre limité d’employés a accès à de telles informations, à des fins professionnelles légitimes, et nous appliquons des protocoles d’accès stricts pour ces employés », assure le groupe.

Twitter Jack Dorsey
Jack Dorsey, le patron de Twitter. // Source : Ryan Lash / TED

Régulièrement, la plateforme est interpellée pour sauter le pas.

Fin 2016, Edward Snowden lui-même avait interpellé Jack Dorsey, le patron de Twitter, sur cette fonctionnalité. « Une dernière question, Jack : que diriez-vous de messages privés secrets, disparaissant après lecture ? Même si le chiffrement de bout en bout ne fonctionne pas par défaut chez tous les clients, donnez-nous de quoi démarrer ». Ce à quoi Jack avait répondu : « c’est raisonnable et nous allons y réfléchir ».

Une réflexion qui de toute évidence se poursuit encore, en 2020. Pourtant, le code source des applications a un peu bougé depuis cet échange. Une option permettant de chiffrer ses messages privés — sans que la clé de chiffrement ne soit détenue par quelqu’un d’autre que les personnes présentes dans la conversation — a été vue. Mais depuis plus rien. Le piratage de mi-juillet pourrait changer la donne.

Partager sur les réseaux sociaux

La suite en vidéo