C’était une promesse d’Elon Musk, Twitter annonce le chiffrement de bout en bout pour une partie des messages privés échangés sur la plateforme. Première limite importante, la nouveauté est réservée aux utilisateurs vérifiés, ce qui revient à dire que c’est une fonctionnalité payante, la vérification faisant partie des bénéfices apportés par Twitter Blue. Il faut ainsi payer 9,6 € par mois ou 100,8 € par an pour en bénéficier.
Même si vous payez, tous les messages privés ne sont pas désormais chiffrés de bout en bout sur Twitter. La fonctionnalité est encore en cours de développement et le chiffrement n’est pas complet à ce stade, avec plusieurs fonctions promises à l’avenir. L’échange se limite pour le moment aux utilisateurs individuels, les conversations de groupe ne peuvent pas encore être chiffrées. Les deux interlocuteurs doivent tous deux être vérifiés et également avoir déjà échangé en privé sans chiffrement. Ce n’est qu’alors qu’ils pourront ouvrir une nouvelle conversation qui sera, elle, chiffrée de bout en bout.
Le chiffrement de bout en bout se fait par la création de plusieurs clés. Twitter générera d’abord une paire de clés spécifique à l’appareil utilisé, qu’il s’agisse du site web ou des apps officielles pour Android ou iOS. Une clé privée reste sur cet appareil et n’est pas transmise aux serveurs de l’entreprise, l’autre est publique et peut ainsi être synchronisée. Le déchiffrement des messages nécessite les deux clés, une seule ne suffit pas, ce qui doit empêcher un tiers de lire les conversations à votre insu.
Puisque la clé privée n’est pas synchronisée, les conversations chiffrées sont réservées aux appareils utilisés et elles ne peuvent pas être lues ailleurs. Twitter prévient qu’elles seront illisibles si vous vous connectez sur un nouvel appareil, ou même si vous réinstallez l’app officielle sur un iPhone ou smartphone Android. En revanche, la clé privée n’est pas supprimée en se déconnectant de l’appareil et les conversations chiffrées seront à nouveau lisible en vous connectant dans la foulée.
Dix appareils, y compris un navigateur web sur ordinateur, peuvent bénéficier de la fonctionnalité pour chaque compte et l’entreprise n’a pas encore créé les outils pour gérer cette liste. Il n’est pas non plus possible de récupérer la clé privée pour la stocker en sécurité hors de Twitter, ni d’en générer une nouvelle si vous pensez qu’elle a été compromise. La fiche technique prévient aussi qu’il n’y a pour le moment aucun mécanisme en place pour prévenir en cas d’attaques de type « man-in-the middle », où un tiers tente de déchiffrer les messages pendant leur transfert.
Autre fonctionnalité qui manque à l’appel, le chiffrement se concentre uniquement sur le texte, les liens et les réactions, les images et autres fichiers ne sont pas gérés. Twitter n’indique pas si cela changera à terme et le site précise que les métadonnées associées aux conversations ne sont pas chiffrées de bout en bout.
