Sapevate che Facebook Messenger non usa la cifratura end-to-end? Ci vorrà del tempo perché arrivi

Negli ultimi anni le varie piattaforme di messaggistica hanno fatto a gara per presentare strumenti che permettessero agli utenti di comunicare in sicurezza, senza la possibilità – per soggetti terzi – di risalire al contenuto dei messaggi.
Nell’articolo Crittografia: come funziona e perché è fondamentale usarla abbiamo parlato dell’importanza della crittografia e del ruolo cruciale che riveste la cifratura end-to-end.

Dopo anni di attesa nel 2016 WhatsApp abbracciò la crittografia end-to-end utilizzando l’algoritmo ideato dal crittografo Moxie Marlinspike per Signal.
Da parte sua il fondatore di Telegram, Pavel Durov, ha ripetutamente criticato WhatsApp sostenendo che la crittografia end-to-end non è tutto: anzi, serve a poco se non è affiancata da una piattaforma progettata fin dall’inizio per tutelare la privacy degli utenti e la riservatezza dei loro dati. E si è lamentato della decisione di WhatsApp (e della “casa madre” Facebook) di non pubblicare il sorgente dell’applicazione preferendo l’anacronistico approccio della “sicurezza per segretezza”, rivelatosi più volte fallimentare, e anzi osteggiando l’analisi del codice: WhatsApp non è sicuro: Pavel Durov accusa di nuovo l’app di Facebook.

Tuttavia, mentre Telegram e soprattutto Signal sono ancora lontani dal numero di utenti attivi che può vantare WhatsApp (vedere Telegram contro Signal: quali le differenze), Facebook Messenger rimane il secondo servizio di messaggistica istantanea più utilizzato a livello globale.
A gennaio 2021 Facebook Messenger ha registrato 1,3 miliardi di utenti attivi rispetto ai 2 miliardi di WhatsApp (prima delle polemiche sul cambiamento delle condizioni d’uso). Dietro di loro troviamo WeChat, QQ, Telegram e Snapchat, e qualche posizione più in basso il servizio di messaggistica istantanea di Instagram, anch’esso di proprietà di Facebook.

Dal 2019 gli sviluppatori di Facebook sono al lavoro per portare la crittografia end-to-end su Facebook Messenger e Instagram Messenger.
Perché a distanza di tanto tempo Facebook non ha ancora provveduto in tal senso? Possibile che un’azienda del calibro di quella guidata da Mark Zuckerberg non si sia allineata ad altri prodotti concorrenti?

Una mezza risposta è contenuta in un intervento pubblicato da Facebook nelle scorse ore.
L’azienda ribadisce l’impegno per la protezione dei dati degli utenti (quasi sicuramente in risposta alle ripetute sottrazioni di dati che si sono verificate nel recente passato; anche se non si è trattato di attacchi sferrati ai server di Facebook, gli aggressori hanno comunque posto in essere attività di crawling particolarmente pesanti ed estese: Disponibile uno strumento che permette di raccogliere gli indirizzi email degli iscritti a Facebook).

Nella nota appena diffusa Facebook anticipa che non sarà in grado di introdurre la crittografia end-to-end in Facebook Messenger e Instagram almeno fino al 2022.

Difficile ipotizzare un ritardo dovuto a motivazioni tecniche: il social network in blu dispone evidentemente di tutti gli strumenti e del personale per raggiungere l’obiettivo in tempi brevi.
Le ragioni sono illustrate nel paragrafo finale dell’analisi pubblicati da Facebook: “dobbiamo trovare un equilibrio tra sicurezza, privacy e protezione. C’è un chiaro bisogno di bilanciare la privacy e la sicurezza dei messaggi degli utenti con il mantenimento di un ambiente sicuro e la fornitura di dati alle forze dell’ordine per rispondere a minacce che possono avere i loro effetti nel mondo reale. Abbiamo discusso degli strumenti che possono proteggere la privacy delle persone e allo stesso tempo prevenire le minacce: segnali comportamentali, dati sul traffico, report sugli utenti piuttosto che l’accesso al contenuto di tutti i messaggi. Non c’è stata convergenza su uno specifico approccio ma gli esperti suggeriscono di approfondire il tema per raggiungere il migliore equilibrio“.

La presa di posizione di Facebook “dice e non dice” ma conferma la volontà dell’azienda di voler tenere per sé le chiavi delle comunicazioni per rispondere alle richieste delle Autorità quando necessario. Cosa che è comunque compatibile con l’implementazione di una soluzione crittografica end-to-end.

Nei piani a medio e lungo termine di Facebook c’è la volontà di combinare WhatsApp, Facebook Messenger e Instagram sotto un’unica piattaforma. Questo significa che a quel punto WhatsApp perderà la crittografia end-to-end? Nel migliore dei casi dovrebbe accadere il contrario ma l’azienda di Zuckerberg potrebbe decidere di abbracciare approcci “ibridi” che di fatto potrebbero indebolire significativamente l’algoritmo crittografico e renderlo di fatto inefficace.