Preuve de nouvelles fonctionnalités Twitter divulguées par un chercheur en sécurité

La chercheuse en sécurité et blogueuse en ingénierie inverse Jane Manchun Wong a découvert des preuves que Twitter pourrait apporter un cryptage de bout en bout à Twitter, ainsi que deux autres modifications possibles qui sont assez utiles.

Elle a fait l'information public via une série de tweets qui divulguaient des détails sur les nouvelles fonctionnalités encore en développement.

Changement trivial mais utile

Le premier changement à venir est la suppression du champ source.

Le champ source est la section sous chaque tweet qui indique quel type d'appareil était utilisé pour publier le tweet.

Il doit y avoir un but pour cette fonctionnalité e mais ce n'est pas immédiatement apparent.

En fin de compte, c'est un changement trivial mais probablement utile car il réduit l'encombrement.

Ouais. Le champ source a disparu de la vue des détails du Tweet dans ce prototype https://t.co/ZTFOnfdXvP pic.twitter.com/KaCOFmKzLE

— Jane Manchun Wong (@wongmjane) 16 novembre 2022

Ouais. Le champ source a disparu de la vue des détails du Tweet dans ce prototype https://t.co/ZTFOnfdXvP pic.twitter.com/KaCOFmKzLE

— Jane Manchun Wong (@wongmjane) 16 novembre 2022

Cryptage de bout en bout

Le chiffrement de bout en bout (E2EE) est un protocole de communication sécurisé entièrement privé, sans aucun accès de toute autre partie autre que celles qui participent à la messagerie.

En général, c'est une bonne idée. Mais il y en a aussi qui soulèvent des inquiétudes légitimes concernant l'ajout d'E2EE à la messagerie qui pourrait ne pas nécessairement être liée à un téléphone de la même manière que WhatsApp et Telegram.

Le chiffrement de bout en bout (E2EE) est un protocole de communication sécurisé entièrement privé, sans aucun accès de toute autre partie autre que celles qui participent à la messagerie.

En général, c'est une bonne idée. Mais il y en a aussi qui soulèvent des inquiétudes légitimes concernant l'ajout d'E2EE à la messagerie qui pourrait ne pas nécessairement être liée à un téléphone de la même manière que WhatsApp et Telegram.

Jane Manchun Wong découvre des preuves

Selon le profil de la BBC sur elle :

"Elle a découvert qu'Airbnb testait une nouvelle fonctionnalité d'intégration de vol qui a alerté les hôtes sur le site Web lorsque les avions de leurs invités ont atterri en toute sécurité.

Et elle a klaxonné quand Instagram a commencé à expérimenter les photos de profil en réalité augmentée. »

"Elle a découvert qu'Airbnb testait une nouvelle fonctionnalité d'intégration de vol qui a alerté les hôtes sur le site Web lorsque les avions de leurs invités ont atterri en toute sécurité.

Et elle a klaxonné quand Instagram a commencé à expérimenter les photos de profil en réalité augmentée. »

MIT Technology Review a écrit ceci à son sujet :

"Wong, 27 ans, a une capacité surnaturelle à déchiffrer des codes difficiles, ainsi qu'un important suivi sur Twitter qui comprend certains des plus grands noms de la technologie et du journalisme.

Alors qu'elle entre dans le dos fin du code des sites Web pour voir ce que les ingénieurs logiciels bricolent, ils attendent ses découvertes avec intérêt. "

En explorant l'application Android de Twitter, elle a récemment découvert que la fonctionnalité E2EE pourrait arriver sur le service de messagerie directe (DM) de Twitter.

Elle a tweeté et publié une capture d'écran de la preuve :

"Twitter ramène les DM chiffrés de bout en bout

Voyant des signes de la fonctionnalité en cours d'élaboration dans Twitter pour Android : "

"Twitter ramène les DM chiffrés de bout en bout

Voyant des signes de la fonctionnalité en cours d'élaboration dans Twitter pour Android : "

Twitter ramène des DM chiffrés de bout en bout

Voir des signes de la fonctionnalité en cours d'élaboration sur Twitter pour Android : https://t.co/YtOPHH3ntD pic.twitter.com/5VODYt3ChK

— Jane Manchun Wong (@wongmjane) 16 novembre 2022

Twitter ramène des DM chiffrés de bout en bout

Voir des signes de la fonctionnalité en cours d'élaboration sur Twitter pour Android : https://t.co/YtOPHH3ntD pic.twitter.com/5VODYt3ChK

— Jane Manchun Wong (@wongmjane) 16 novembre 2022

Jane a également publié une autre preuve :

Premier prototype de l'upcom de Twitter Écran "Clés de chiffrement" des DM chiffrés de bout en bout : https://t.co/rcnd7h68lO pic.twitter.com/EMXSlI188j

— Jane Manchun Wong (@wongmjane) 16 novembre 2022

Premier prototype de l'upcom de Twitter Écran "Clés de chiffrement" des DM chiffrés de bout en bout : https://t.co/rcnd7h68lO pic.twitter.com/EMXSlI188j

— Jane Manchun Wong (@wongmjane) 16 novembre 2022

Jane a demandé un chiffrement de bout en bout

Le 9 novembre 2022, elle a répondu à un tweet d'Elon Musk qui demandait des suggestions pour Twitter.

Elle tweeté :

"Ranimez les DM chiffrés de bout en bout !"

Ranimez les DM chiffrés de bout en bout ! https://t.co/pBEQro3E4e

— Jane Manchun Wong (@wongmjane) < a href='https://twitter.com/wongmjane/status/1590436981091471360?ref_src=twsrc%5Etfw' target='_blank'>9 novembre 2022

Ranimez les DM chiffrés de bout en bout ! https://t.co/pBEQro3E4e

— Jane Manchun Wong (@wongmjane) < a href='https://twitter.com/wongmjane/status/1590436981091471360?ref_src=twsrc%5Etfw' target='_blank'>9 novembre 2022

Est Le chiffrement de bout en bout de Twitter DM est-il une bonne idée ?

Lea Kissner, l'ancienne directrice de la sécurité de l'information de Twitter, a partagé ses observations sur les pièges possibles.

Elle tweeté :

"Pour le contexte : j'ai un doctorat en cryptographie, ma thèse porte sur la confidentialité- en préservant les protocoles cryptographiques, et je suis publiquement connu pour avoir travaillé sur plusieurs nouveaux systèmes E2EE (de Zoom et Google).

Donc : 1) YMMV parce que chaque système est un peu différent 2) ce n'est pas mon premier rodéo”

"Pour le contexte : j'ai un doctorat en cryptographie, ma thèse porte sur la confidentialité- en préservant les protocoles cryptographiques, et je suis publiquement connu pour avoir travaillé sur plusieurs nouveaux systèmes E2EE (de Zoom et Google).

Donc : 1) YMMV parce que chaque système est un peu différent 2) ce n'est pas mon premier rodéo”

Parmi ses préoccupations figurait la possibilité d'abus.

Elle a expliqué dans un suivi tweet :

"Notez que le simple fait de regarder WhatsApp ou Signal ne vous donne pas une compréhension presque suffisante de ce que seront les abus sur un réseau non basé sur un numéro de téléphone. Ils ont *beaucoup* plus de facilité et le problème n'est toujours pas résolu. »

"Notez que le simple fait de regarder WhatsApp ou Signal ne vous donne pas une compréhension presque suffisante de ce que seront les abus sur un réseau non basé sur un numéro de téléphone. Ils ont *beaucoup* plus de facilité et le problème n'est toujours pas résolu. »

Elle a également noté la complexité du déploiement sur plusieurs appareils :

"5. Plusieurs appareils. Tout cela devient plus ennuyeux (bien que toujours gérable) lorsque les utilisateurs ont plus d'un appareil, *surtout* si vous ne voulez pas que le serveur puisse ajouter des appareils bon gré mal gré (car cela compromet la sécurité).

"5. Plusieurs appareils. Tout cela devient plus ennuyeux (bien que toujours gérable) lorsque les utilisateurs ont plus d'un appareil, *surtout* si vous ne voulez pas que le serveur puisse ajouter des appareils bon gré mal gré (car cela compromet la sécurité).

Mais à la fin, elle a affirmé que le chiffrement de bout en bout est faisable pour Twitter.

Je suis sûr que j'oublie quelque chose et tout cela est faisable, mais notez :
1) comme tous les systèmes cryptographiques, E2EE est subtil et rapide à irriter et doit être fait avec précaution
2) notez que nulle part dans cette liste je n'ai inclus la partie réelle qui effectue le cryptage/ trucs de décryptage

— Lea Kissner (@LeaKissner) 16 novembre 2022

Je suis sûr que j'oublie quelque chose et tout cela est faisable, mais notez :
1) comme tous les systèmes cryptographiques, E2EE est subtil et rapide à irriter et doit être fait avec précaution
2) notez que nulle part dans cette liste je n'ai inclus la partie réelle qui effectue le cryptage/ trucs de décryptage

— Lea Kissner (@LeaKissner) 16 novembre 2022

Bloquer le contenu illégal en Corée du Sud

La troisième fonctionnalité découverte par Jane est en fait une bonne car elle fonctionne pour vaincre le cyberharcèlement et la publication de vidéos illégales mises en ligne par des cyberharceleurs et des creeps.

Elle a tweeté :

"Twitter travaille sur un avertissement aux médias pour les utilisateurs en Corée du Sud

"Si vous téléchargez du contenu filmé illégalement, Twitter peut supprimer ou bloquer l'accès au contenu et le téléchargeur peut être sanctionné.""

Apparemment, cela vise le problème des vidéos de personnes filmées illégalement et du cyberharcèlement.

Twitter travaille sur un avertissement aux médias pour les utilisateurs en Corée du Sud< /p>

"Si vous téléchargez du contenu filmé illégalement, Twitter peut supprimer ou bloquer l'accès au contenu et le téléchargeur peut être sanctionné. pic.twitter.com/GUW1XGIaPY

— Jane Manchun Wong (@wongmjane) 16 novembre 2022

Twitter travaille sur un avertissement aux médias pour les utilisateurs en Corée du Sud< /p>

"Si vous téléchargez du contenu filmé illégalement, Twitter peut supprimer ou bloquer l'accès au contenu et le téléchargeur peut être sanctionné. pic.twitter.com/GUW1XGIaPY

— Jane Manchun Wong (@wongmjane) 16 novembre 2022

Les fonctionnalités seront-elles réellement déployées ?

Il semble que l'équipe Twitter travaille activement sur ces fonctionnalités utiles. Il sera intéressant de voir à quelle vitesse ils pourront le déployer avec la main-d'œuvre réduite.

Image sélectionnée par Shutterstock/RealPeopleStudio