Questo e' vero nella comunicazione con il server, ma una volta sul server i messaggi sono in chiaro.
Se io ti scrivo un messaggio privato su facebook (o su linkedin etc...) la comunicazione avviene cosi':
1. Io scrivo il messaggio in una pagina HTML che invia il messaggio su un canale cifrato TLS al server. Questa comunicazione e' sicura rispetto alle terze parti.
2. Il server salva il messaggio, in chiaro (e anche se lo criptasse sarebbe comunque in grado di decriptarlo).
3. Tu accedi a facebook e ricevi attraverso un canale cifrato TLS una pagina HTML contenente il messaggio. Anche questa comunicazione e' sicura rispetto alle terze parti.
Durante 1 e 3 nessuno puo' leggere il tuo messaggio (in teoria, in pratica negli anni sono emersi diversi attacchi che lo hanno concretamente permesso).
Ma per 2. non c'e' soluzione al di fuori di inviare un messaggio effettivamente criptato. Quindi qualunque sysadmin di Facebook puo' leggere tali messaggi.
Per quanto riguarda la classica email, invece il protocollo SMTP classico trasferisce i messaggi in chiaro. A questo facevo riferimento quando parlavo di lettere senza busta.
Il canale SSL puo' esserci o meno, ma comunque cripta le comunicazioni fra i server, non end-to-end. Quindi ciascuno dei server SMTP che il messaggio attraversa puo' leggerlo o salvarne una copia in chiaro e diffonderla.
Inoltre il server IMAP/POP da cui scarichi il messaggio lo detiene in chiaro. Di nuovo gli amministratori della casella di posta possono leggere la corrispondenza.
E anche applicazioni che forniscono canali cifrati end-to-end, possono garantirne l'efficacia solo per comunicazioni fra 2 client, non credo funzioni con comunicazioni fra 3 o piu' persone (come nei gruppi). Questo perche' lo scambio di chiavi Diffie Helmann funziona solo fra due nodi. Ho un vago ricordo di una tecnica che lo permette per 3 nodi, ma non ricordo i dettagli, e potrei sbagliarmi.
Quindi, almeno per i gruppi, vi e' comunque un server che detiene i messaggi in chiaro.