Pour le trafic sur twitter.com, api.twitter.com et mobile.twitter.com, Twitter a ajouté une couche de sécurité supplémentaire à HTTPS. Un protocole dénommé Forward Secrecy qui est loin d'être nouveau mais dont l'application est synonyme de charge de traitement supplémentaire pour le serveur.

censure En adoptant Forward Secrecy, Twitter rejoint Google et plus récemment Facebook. Le blog Naked Security de Sophos explique de manière simplifiée qu'avec HTTPS, le serveur envoie une clé publique pour laquelle il existe une clé privée correspondante permettant d'utiliser la même paire de clés à l'infini. Pour HTTPS avec Forward Secrecy, le serveur envoie une clé publique qui est unique pour une session et ainsi la clé privée correspondante peut être détruite après utilisation.

Google explique de son côté qu'avec Forward Secrecy, les clés privées du serveur pour une connexion HTTPS ne sont pas conservées dans un stockage persistant. " Un attaquant qui casse une seule clé ne sera pas capable de déchiffrer des mois de connexion ; en fait, même l'administrateur du serveur ne sera pas capable de déchiffrer rétroactivement des sessions HTTPS. "

L'initiative de Twitter vise donc à renforcer la sécurité des communications qui pourraient être interceptées. Même en cas de compromission ou à la demande d'un gouvernement pour obtenir des clés privées, les communications interceptées resteront sécurisées.

Les révélations sur la surveillance de la NSA ne sont sans doute pas étrangères à la mise en place d'une technique qui existe depuis longtemps.

Source : Twitter