Facebook serait ainsi sur le point de s’orienter vers une technologie de chiffrement ancienne, mais beaucoup plus forte que celle actuellement déployée sur son réseau.

Facebook securité  Le réseau social de Mark Zuckerberg envisagerait ainsi de basculer vers la solution Forward secrecy, un système capable de sécuriser le trafic Internet (la connexion entre un navigateur et un site en ligne) de sorte qu’il soit plus difficile pour un tiers d’intercepter les pages consultées, même lorsque la clef privée du site est compromise.

Cette technologie est employée par les experts en sécurité depuis sa création dans les années 1990 et présentée comme l’une des meilleures solutions possible pour les services en ligne.

Pour simplifier le fonctionnement du chiffrement sur Internet :

Lorsqu’un individu accède à un espace web non chiffré (HTTP), il est relativement possible d’intercepter les données transférées. La technique a récemment été employée par la NSA sur de la fibre optique.

Dans le cadre d’un accès à un site sécurisé (HTTPS), une paire de clefs est générée entre le serveur et le navigateur dans le but de sécuriser les informations pendant leur transit. Sans les clefs correspondantes, il est compliqué, voir impossible de déchiffrer les données déroutées. Malheureusement, il reste possible de compromettre ces clefs.

Pour les sites utilisant le protocole Forward secrecy, le site ne créer pas une clef unique pour des millions d’utilisateurs. À la place, une clef est créée pour chaque session et chaque utilisateur. Cela implique qu’un individu capable de détourner une partie des informations en transit ne sera pas capable de déchiffrer l’ensemble des échanges s’il ne dispose que d’une seule clef.

En 2011, Google est devenu l’un des sites majeurs à intégrer cette solution de chiffrement puissante. Les autres acteurs du web restent pourtant à la traine

Facebook devrait néanmoins intégrer cette nouvelle sécurisation des données très prochainement. Un argument de plus pour appuyer le discours selon lequel la société ne propose pas d’accès direct aux données de ses utilisateurs à destination des agences gouvernementales.

Source : The Verge