Anti-espionnage : Twitter renforce le chiffrement des données

Le par  |  2 commentaire(s) Source : Twitter
twitter-logo

Twitter ajoute une couche de protection supplémentaire à ses serveurs et HTTPS. La confidentialité persistante ou Forward Secrecy à l'instar de Google et Facebook.

Pour le trafic sur twitter.com, api.twitter.com et mobile.twitter.com, Twitter a ajouté une couche de sécurité supplémentaire à HTTPS. Un protocole dénommé Forward Secrecy qui est loin d'être nouveau mais dont l'application est synonyme de charge de traitement supplémentaire pour le serveur.

censureEn adoptant Forward Secrecy, Twitter rejoint Google et plus récemment Facebook. Le blog Naked Security de Sophos explique de manière simplifiée qu'avec HTTPS, le serveur envoie une clé publique pour laquelle il existe une clé privée correspondante permettant d'utiliser la même paire de clés à l'infini. Pour HTTPS avec Forward Secrecy, le serveur envoie une clé publique qui est unique pour une session et ainsi la clé privée correspondante peut être détruite après utilisation.

Google explique de son côté qu'avec Forward Secrecy, les clés privées du serveur pour une connexion HTTPS ne sont pas conservées dans un stockage persistant. " Un attaquant qui casse une seule clé ne sera pas capable de déchiffrer des mois de connexion ; en fait, même l'administrateur du serveur ne sera pas capable de déchiffrer rétroactivement des sessions HTTPS. "

L'initiative de Twitter vise donc à renforcer la sécurité des communications qui pourraient être interceptées. Même en cas de compromission ou à la demande d'un gouvernement pour obtenir des clés privées, les communications interceptées resteront sécurisées.

Les révélations sur la surveillance de la NSA ne sont sans doute pas étrangères à la mise en place d'une technique qui existe depuis longtemps.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1569582
T'as qu'à croire!
Le #1582982
Forward secrecy, ou l'illusion de sécurité:

Les chiffrement a clé asymétriques sont extrêmement compliqués a cracker. Quand on essaye de les décrypter on parle en années en utilisant tous les ordinateurs existant sur terre. Mais ces clés ne sont utilisées que pour encoder des clés de chiffrement symétrique qui seront utiliser pour chiffrer les données. Or ces clés sont très faciles a cracker, que se soit avec un superordinateur ou un botnet, et ce même en utilisant des algorithmes aussi inefficaces que du brute force. Avec un système suffisamment puissant on peu décoder le flux en direct, et ce même si une clé différente est utilisée pour chaque paquet de donnée envoyé.

Donc personne n'essaye de cracker les clés asymétriques, c'est déjà trop compliqué même quand il n'y en a qu'une. Le seul cas ou cela est intéressant c'est pour une surveillance prolongée pour laquelle on ne veut pas mobiliser de ressources couteuses, et même dans ce cas, on va plutôt essayer de voler la clé en compromettant le serveur via une attaque ciblée d'ingénierie sociale.

Au final Forward Secrecy permet juste de dire "on arrete de donner la clé de la bergerie au loup, on y met une belle porte blindée, mais on conserve les murs en papier..."
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]