Yahoo présente son plugin de chiffrement End-To-End pour ses services de messagerie
Et lance son service de mot de passe à la demande

Le , par Olivier Famien

0PARTAGES

1  0 
Depuis les révélations de Snowden, les géants du web font tous leurs efforts pour accroitre la protection des données de leurs utilisateurs. Yahoo n’a pas voulu rester à la traine et s’est joint au projet de chiffrage des communications initié par la firme de Mountain View dénommé End-To-End. À terme, ce projet devrait permettre de chiffrer, déchiffrer, appliquer des signatures numériques et vérifier des messages signés en utilisant OpenPGP.

Le week-end dernier, Yahoo a annoncé, par la voix d’Alex Stamos responsable de la sécurité des systèmes d’information, la sortie d’une nouvelle solution afin de fournir un service mail encore plus sécurisé à ses utilisateurs. Cette solution dénommée Yahoo End-To-End, est une fourche du projet End-To-End initié par Google et s’apparente comme un plug-in offrant un chiffrage des mails de bout en bout.

Elle a été conçue, en vue répondre aux risques grandissants de fuites de données auxquelles s’exposent les internautes sur la toile. En effet, c’est ce qu’atteste Alex Stamos en affirmant ouvertement « qu’aujourd’hui nos utilisateurs sont plus conscients de la nécessité de se connecter de manière sécurisée ». « Nous vous avons entendu de manière claire et précise ».

Aussi, vu les aptitudes technologiques divergentes des internautes allant des niveaux assez bas aux plus expérimentés, Yahoo a voulu sa solution très simple afin qu’elle puisse être utilisée par tous les internautes. C’est dans ce sens qu’elle a mis œuvre ce plug-in qui une fois intégrée au navigateur permet d’envoyer des mails en quelques clics dans un format très sécurisé. Comme principe de fonctionnement, il permet de chiffrer les messages localement avec deux niveaux de sécurité (une clé publique et une clé privée) avant d’être envoyés sur le réseau.

Il faut noter que Yahoo mail n’est pas la première solution de chiffrage bout-en-bout mis en place dans le même objectif. GPG4Mac qui est le client Mac semblable au fork de Yahoo a été comparé dans la vidéo suivante afin de démontrer la simplicité et la rapidité de la nouvelle solution Yahoo.


Comme autre solution que nous pouvons également citer, nous avons par exemple ProtonMail qui a été initié l’an dernier par des ingénieurs du CERN et du MIT. Il offre de manière relative le même niveau de sécurité que Yahoo mail avec comme outil de base OpenPGP, AES et RSA, sans que les clés privées des utilisateurs soient hébergées sur les serveurs de messagerie. Comme Yahoo End-To-End, cette solution est encore en cours de réalisation.

Yahoo a soumis le dépôt du code source de sa solution End-To-End à son projet Bug Bounty qui donne l’opportunité à des chercheurs, scientifiques ou autres personnes de partager avec Yahoo les failles découvertes contre rémunération.

Pour ceux qui souhaitent voir sa mise en application officielle dans les services de Yahoo, la date butoir a été fixée avant la fin de l’année 2015.

En plus de son plugin de chiffrement, Yahoo a apporté une solution à un problème rencontré par de nombreux internautes : la difficulté que représente la mémorisation d’un mot de passe fort, recommandé pour une meilleure sécurité. La firme a lancé Password on demand, un service qui permet à l’utilisateur de recevoir un mot de passe à usage unique par SMS, chaque fois qu’il souhaite se connecter aux services de Yahoo.

Source : Yahoo Blog

Télécharger le code source Yahoo End-To-End

Et vous ?

Que pensez-vous de cet outil ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Fagus
Membre habitué https://www.developpez.com
Le 17/03/2015 à 14:12
Trois remarques

1. pourquoi ne pas avoir implémenté S/MIME. C'est standard, c'est sensé être sécurisé*, c'est déjà implémenté sous toutes les plateformes et par quelques concurrents en ligne. L'installation est instantanée sur un système correct (sous la suite seamonkey j'ai juste à cliquer sur le lien en ligne de la clé du serveur de clés et c'est installé dans le client mail). Faut juste passer par une autorité de confiance (genre comodo, gratuit).
Il y a pas besoin de plugin ni d'installation tierce.
Pour l'avoir dans le webmail, faut aussi mettre sa clé privée en ligne...

2. Pour quelle audience ? va falloir une compatibilité parfaite avec OpenPGP pour que ça marche pour les non utilisateurs de yahoo. Et ils doivent être assez peu car sous windows, l'interface GUI est horriblissime en ergonomie, lourde et un peu beuguée. Sans compter que l'intégration avec les clients mails passe par un plugin régulièrement cassé par les mises à jour automatiques.

3. Pertinence de mettre la clé privée en ligne...

*outlook chiffre en RC2 un vieil algo cassé à la place de 3DES dans certaines circonstances...

 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web