Twitter renforce sa sécurité pour se protéger des écoutes

Twitter vient de mettre en place un système de confidentialité persistante (forward secrecy) sur ses sites desktop et mobile, ainsi qu’au sein de ses API.

La cryptographie asymétrique consiste à utiliser un couple clé publique et clé privée. Mais que se passe-t-il si la clé privée de l’utilisateur est découverte ? Les données transmises peuvent alors être intégralement déchiffrées.

PFS : Perfect Forward Secrecy

C’est ici qu’entre en jeu la confidentialité persistante. En utilisant des clés de session uniques (qui n’ont pas de lien avec les clés des personnes devant s’échanger des informations), cette technique garantit que même si la clé publique d’un des deux participants venait à être découverte, les échanges passés ne pourraient être décryptés.

La technique est d’autant plus utile que c’est ici Twitter qui stocke les clés privées de chiffrement. Si ces dernières venaient à être découvertes, l’intégralité des messages de l’ensemble des utilisateurs du réseau serait alors lisible en clair. Avec la mise en place de ce nouveau dispositif, la société se protège de tout risque de ce côté.

« Si un adversaire est en train d’enregistrer le trafic crypté de tous les utilisateurs de Twitter, et s’il parvient par la suite à casser ou voler les clés privées de Twitter, il ne sera pas en mesure d’utiliser ces clés pour déchiffrer le trafic enregistré », résume Jacob Hoffman-Andrews sur le blog de la firme.

Noter que d’autres services web utilisent déjà cette technique. C’est par exemple le cas de Gmail, la messagerie en ligne de Google.

Voir aussi
Quiz Silicon.fr – Fuites de données, petits secrets et grands scandales