Selon le chercheur sur la sécurité Karan Saini, Twitter conserve des copies des messages directs, abrégés DM, envoyés sur le réseau social même des années après que les utilisateurs les aient supprimés.
Saini, qui a déclaré à TechCrunch qu’il « nourrissait des inquiétudes » concernant la longue conservation des données, a découvert d’anciens DM pour des comptes Twitter déjà enregistrés dans une archive acquise sur le site Web du réseau social. Il a également révélé un bug non divulgué qui lui permet d’utiliser une API dépréciée depuis pour récupérer les messages directs, même après leur suppression par l’expéditeur et le destinataire.
La politique de confidentialité de Twitter affirme qu’il est possible pour les utilisateurs de restaurer leurs comptes pendant 30 jours après la désactivation, au cas où la suppression serait une erreur. Après cette période de 30 jours, Twitter supprime soi-disant les données associées au compte, y compris les messages directs. Cependant, ce n’est apparemment pas le cas, selon la découverte de Saini.
Les propres tests de TechCrunch ont confirmé qu’il est possible de récupérer des DM d’il y a des années, y compris ceux créés par des comptes suspendus et supprimés. Saini a également tweeté une clarification sur ce que ses résultats signifiaient pour l’utilisateur lambda.
Pas une faille, mais un « bug fonctionnel »
Folks are having some trouble understanding this, so here is a short summary:
DMs are never “deleted”—rather only withheld from appearing in the UI. The archive feature lets you view these DMs, as well as any others with now suspended, or deactivated users https://t.co/IXRdT6G9i6—Karan Saini (@iasni) February 16, 2019
Saini qualifie le problème de « bug fonctionnel » au lieu de faille de sécurité, mais aussi de respect de la vie privée, car Twitter a apparemment une définition différente de la suppression par rapport à ses utilisateurs. Lorsque les utilisateurs suppriment leurs comptes Twitter ou leurs messages directs sur le réseau social, on s’attend à ce que les données disparaissent pour de bon, et ne retrouvent pas dans les archives, dans l’attente d’être récupérées.
Twitter a répondu au rapport, affirmant qu’elle « approfondissait la question », mais il est difficile de savoir si le stockage de messages supprimés est un bug ou si le service induisait tout simplement les utilisateurs en erreur quant à la suppression de données. Cela rappelle aux utilisateurs qu’ils ne doivent pas faire confiance aux réseaux sociaux pour réellement supprimer quelque chose, et que seule la messagerie chiffrée doit être utilisée lorsque la confidentialité est une préoccupation.
