Elon Musk l’avait promis lorsqu’il avait racheté Twitter : il allait mettre en place un chiffrement pour protéger la confidentialité des messages privés échangés sur le réseau social.
Le chiffrement dit « de bout en bout » permet de s’assurer qu’un message ne peut être lu que par son émetteur et son destinataire. Grâce à un système de doubles clés cryptographiques, ni l’entreprise qui édite l’application ni un pirate qui intercepterait la communication ne peuvent le déchiffrer. Cette technologie est déployée dans toutes les applications de messageries sécurisées, comme Signal ou WhatsApp, et est disponible au moins en option sur la plupart des grandes plates-formes.
Mais le chiffrement mis en place mercredi 10 mai par Twitter est en réalité tellement limité qu’il serait abusif de le comparer à ceux des autres plates-formes. D’après la propre description du service par Twitter – qui à défaut de proposer un outil réellement sécurisé, fait au moins preuve d’une certaine transparence – le chiffrement ne concerne que les messages échangés entre deux utilisateurs abonnés au service payant Twitter Blue, excluant de fait la quasi-totalité des utilisateurs. Surtout, la manière dont le chiffrement est mis en place souffre de limitations majeures, aussi bien pratiques (il n’est pas disponible pour les conversations de groupe) que techniques.
Chiffrement très limité
Le chiffrement est pour l’instant limité au texte – les photos ou vidéos échangées ne sont pas protégées. Twitter n’a pas non plus mis en place un outil dit perfect forward secrecy, qui change régulièrement les clés de chiffrement utilisées pour éviter qu’en cas de vol du téléphone, par exemple, une personne mal intentionnée puisse continuer à déchiffrer les messages envoyés à l’avenir.
Le chiffrement des messages privés mis en place par Twitter « n’est pas meilleur que celui de Signal, de WhatsApp, ou de n’importe quel service qui utilise le protocole Signal [protocole de référence pour le chiffrement de bout en bout], que ce soit en termes de fonctionnalités ou de sécurité », estime dans Wired le spécialiste reconnu du chiffrement Matthew Green. Ce 11 mai, Elon Musk lui-même a reconnu que le chiffrement mis en place était loin d’être optimal, expliquant dans un message qu’il s’agit d’une « version préliminaire » de la fonctionnalité, et recommandant aux utilisateurs de « s’en servir mais de ne pas lui faire confiance tout de suite ».
Dans sa description des nouvelles fonctionnalités, Twitter évite d’ailleurs d’utiliser l’expression « chiffrement de bout en bout », qui pourrait ici être considérée comme exagérée. En 2021, l’application de vidéoconférence Zoom avait été condamnée à une amende pour avoir affirmé que son service était « chiffré de bout en bout », alors qu’il ne l’était pas – l’entreprise a depuis déployé un « vrai » chiffrement de ce type.
Attaques frontales contre WhatsApp
Pourtant, Elon Musk a, ces derniers jours, fait de grandes annonces laissant entendre que Twitter allait désormais concurrencer directement WhatsApp, l’application de messagerie sécurisée la plus utilisée aux Etats-Unis notamment. Outre la mise en place d’un chiffrement, Twitter a commencé à déployer des fonctionnalités de discussion plus avancées, et un outil de visioconférence.
Ce 10 mai, M. Musk s’en est aussi pris frontalement à WhatsApp, affirmant qu’on ne « peut pas faire confiance » à l’application, propriété de Meta (Facebook, Instagram). M. Musk répondait à l’un de ses ingénieurs, qui affirmait publiquement que WhatsApp avait activé le micro de son téléphone à son insu. « C’est un bug d’Android, mec », lui a rétorqué Yann Le Cun, chercheur et haut cadre de Meta, citant les premières réponses techniques de WhatsApp sur ce dossier.
L’idée que les applications ou réseaux sociaux « écoutent » secrètement leurs utilisateurs pour leur proposer des publicités ciblées est une vieille théorie du complot à laquelle aucun élément de preuve n’a jamais été apporté.