« Les messages chiffrés de Twitter sont nettement inférieurs à ceux de Signal et de WhatsApp », titre Wired. Ils sont également « techniquement défectueux et limités dans leurs fonctionnalités, tout cela pour seulement huit dollars par mois ».
« Comme l'a dit Elon Musk, en ce qui concerne les messages directs, la norme devrait être la suivante : si quelqu'un nous met un pistolet sur la tempe, nous ne pourrons toujours pas accéder à vos messages », explique le centre d'aide de Twitter, faisant référence à une promesse faite par le milliardaire, mais avant de préciser : « Nous n'en sommes pas encore là, mais nous y travaillons », raille Wired :
« En fait, la description de la fonction de messagerie chiffrée de Twitter qui suit cette mise en garde initiale ressemble presque à une liste de tous les défauts les plus graves de toutes les applications de messagerie chiffrée de bout en bout existantes, désormais réunies en un seul produit - avec quelques défauts supplémentaires qui lui sont propres. »
Le chiffrement est en effet facultatif, et pas activé par défaut, n'empêche donc pas les attaques de type « man in the middle », et ne proposera pas de fonction de confidentialité persistante (« perfect forward secrecy ») protégeant les utilisateurs même en cas de compromission de l'appareil ou de la clef privée : « nous ne prévoyons pas de remédier à cette limitation », précise Twitter.
Il est en outre impossible d'envoyer photos, vidéos et messages de groupe, et les DM chiffrés sont réservés aux seuls abonnés payants à Twitter Blue, alors que WhatsApp et Signal (lancé par Moxie Marlinspike, un ancien responsable sécurité de Twitter), dont la sécurité et les fonctionnalités sont bien plus éprouvées, depuis des années, sont gratuits.
« Ça ressemble au déploiement précipité d'un produit qui n'est pas encore tout à fait au point », euphémise Riana Pfefferkorn, chercheuse en sécurité à l'Observatoire de l'Internet de l'université de Stanford. Elle souligne que Zoom avait été sanctionné par la Federal Trade Commission en 2020 pour avoir prétendu offrir un chiffrement « de bout en bout » alors que ce n'était pas le cas, ce qui pourrait expliquer pourquoi Twitter ne le propose pas.
