Discussion :

[Siguillaume]

Facebook renforce la sécurité de ses emails
grâce au recours au chiffrement avec les clés publiques OpenPGP

Facebook vient d’ajouter une nouvelle touche pour renforcer la sécurité de ses communications avec ses utilisateurs. En effet, la firme de Mark Zuckerberg annonce qu’il intégrera désormais un chiffrement à clé publique OpenPGP pour les différentes notifications qu’il enverra par mail. Le fait est que Facebook génère plusieurs notifications envoyées par courriel sur des évènements présélectionnés par l’utilisateur dont la plupart sont activés par défaut, comme une demande d’ami, ou la réception d’un message privé.
Cette couche de sécurité se présente comme un paramètre du profil que le Facebookeur pourra renseigner après avoir généré sa clé publique via un logiciel PGP, qu’il aurait préalablement installé sur son ordinateur.

C’est une nouvelle brique qui vient s'ajouter au TLS déjà adopté par la firme, qui, depuis 2013 redirige automatiquement toutes les requêtes HTTP en HTTPS.

OpenPGP est une norme implémentée pour le chiffrement des communications numériques. Elle est reconnue comme l’une des meilleures à l’échelle mondiale. D’ailleurs, à la première publication du logiciel PGP en 1991, son créateur Philip Zimmermann a fait l’objet de poursuites judiciaires par le gouvernement américain qui qualifiait cet outil « d’arme interdite à l’exportation ». Et même, la France ne l'a autorisé qu'en 1999. On est donc tenté de considérer cette mesure comme un acte de Facebook qui prouverait sa bonne foi dans la protection de ses utilisateurs.

Il convient aussi de relever que la firme offre depuis l’an dernier la possibilité de se connecter discrètement en exploitant le principe de l’anonymat implémenté dans le projet Tor. Ce dernier présente également plusieurs niveaux de sécurité dont pourrait bénéficier l’adhérent.

Pour le moment, Facebook souligne être en phase expérimentale, mais il ne faudra pas être surpris, dans un futur proche, de découvrir une extension de cette couche de sécurité aux communications entre utilisateurs ; surtout qu’il est déjà possible à l’état actuel pour l’utilisateur de partager sa clé PGP avec un autre correspond.

Toutefois, il faut reconnaître que la manipulation de clé de chiffrement n’est pas à la portée de toute la communauté Facebook. Si le ‘grand maître’ du réseautage social veut voir cette nouvelle mesure adoptée par un plus grand nombre, des efforts supplémentaires sont encore à fournir; et même pourquoi pas intégrer une interface pour y générer directement sa clé PGP?

Source : Facebook

Et vous ?

Cette mesure permet-elle de vous procurer une confiance au réseau social ?

[Gecko]

J'y vois plus un moyen de collecter énormément de clé PGP, parce que nombreux seront ceux qui n'en utiliseront qu'une pour tous leurs échanges. Du coup c'est bien pour la sécurité en soit, mais moins bien car les serveurs restent à portée de la NSA qui n'hésitera pas à taper dedans pour obtenir que qu'elle veut.

[23JFK]

facebook via tor... il y a comme une contradiction dans le principe d'anonymisation.

[matthius]

Est-ce que Facebook peut autoriser mon compte à être trouvé dans Facebook ?
Facebook peut-il autoriser la diffusion sur Facebook de mes 7 livres au lieu d'un ?