Facebook gère désormais le chiffrement des emails via GnuPG (GPG). Mais attention, le réseau social ne permet pour le moment de bénéficier de cette protection complémentaire que pour les emails de notification qu'il envoie à ses utilisateurs. Il est également possible d'afficher votre clef publique de manière à faciliter le fait de vous contacter de manière chiffrée.
Facebook a annoncé lundi une nouvelle fonction de sécurité à destination des utilisateurs les plus aguerris. Le réseau social permet désormais d'ajouter une clé de chiffrement GPG à son profil, pour la signaler à d'autres membres.
Du besoin de faciliter l'échange de clefs publiques
Une manière comme une autre de certifier votre identité à des tiers, un peu à la manière de ce que propose depuis un moment keybase.io, mais sans vous permettre de vous assurer que le profil n'a pas été compromis et la clef affichée modifiée au passage, comme avec le principe du « tracking ».
Cela montre aussi que le principe des serveurs de clefs publiques et le seul « web of trust » ne sont pas suffisant ou pas assez exploités pour constituer une solution pour une utilisation par un large public. Cette nouveauté de Facebook aura au moins l'intérêt de proposer un premier pas dans l'univers de GPG .
Pour rappel, il permet (entre autres) le chiffrement de messages via un système asymétrique à deux clefs : l'une est publique et permet de vous envoyer un message chiffré ou de vérifier un message que vous avez signé avec votre autre clef, privée. Si la première peut être largement distribuée, notamment à travers un profil sur les réseaux sociaux, la seconde doit être protégée. Selon The Register, les tentatives d'envoi d'une clé privée sont d'ailleurs bloquées par Facebook, de quoi rassurer les plus novices et leur éviter quelques désagréments.
Facebook veut vous permettre de vérifier qu'il est bien à l'origine d'un email
L'autre nouveauté proposée concerne le chiffrement des communications. Mais attention, il n'est pas question de vous proposer de converser avec vos amis en exploitant vos clefs respectives, tout du moins pas pour le moment. En effet, une fois la fonction « expérimentale » activée dans les paramètres de contact, seuls les messages « sécurisés » envoyés par Facebook seront chiffrés avec votre clé publique, et signés avec l'une des clés du réseau social afin de vous permettre de vous assurer de leur provenance. Une pratique dont on se demande pourquoi elle n'est pas plus largement utilisée afin de combattre le phising par exemple.
Techniquement, le service dispose d'une clé principale permanente et de sous-clés « opérationnelles », pour pouvoir multiplier les clés utilisées tout en maintenant une seule identité. Les messages sont chiffrés avec GnuPG (GPG), une implémentation libre d'OpenPGP, qui a démarré il y a 16 ans. En février, Facebook s'était engagé à financer le développement de GPG à hauteur de 50 000 dollars. Son créateur et principal développeur, Werner Koch, n'estimait plus son travail viable économiquement. Cet appel avait été entendu par plusieurs entreprises, dont Facebook, qui ont multiplié les annonces de financement.
En un sens, le réseau social a donc financé un outil qui lui est utile. Reste tout de même à voir quelle part des utilisateurs utiliseront cette nouvelle possibilité, qui s'appuie sur un système de chiffrement qui n'est pas des plus simples à utiliser au quotidien, même s'il est répandu.
