Yahoo pour crypter les sessions de messagerie Web par défaut à partir de janvier

Yahoo commencera à chiffrer les sessions de messagerie Web de ses utilisateurs au début de 2014 en normalisant HTTPS (Hypertext Transfer Protocol Secure) pour toutes les connexions Yahoo Mail.

Les experts en sécurité, les défenseurs de la vie privée et les utilisateurs demandent depuis longtemps à Yahoo cette fonctionnalité. D'autres grands fournisseurs de messagerie Web le proposent déjà.

En novembre 2012, l'Electronic Frontier Foundation avec d'autres organisations de protection de la vie privée, de sécurité et des droits de l'homme, a envoyé une lettre à la PDG de Yahoo, Marissa Mayer, demandant à la société d'ajouter la prise en charge HTTPS à ses services de communication, y compris le courrier électronique et la messagerie instantanée.

HTTPS, qui combine le protocole de communication Web HTTP avec le protocole de chiffrement SSL (Secure Sockets Layer), est largement utilisé pour sécuriser les connexions entre les utilisateurs Web et les sites Web, et empêche les données sensibles d'être interceptées et lues par des parties non autorisées pendant le transit.

Yahoo a commencé à déployer une nouvelle interface Web pour Yahoo Mail à la fin de l'année dernière qui fournissait un support pour HTTPS en session complète, mais uniquement en option. Afin d'activer la fonctionnalité, les utilisateurs peuvent accéder à leurs paramètres de compte de messagerie et cocher la case "Utiliser SSL" dans la section "Sécurité".

"À partir du 8 janvier 2014, nous rendrons les connexions https cryptées standard pour tous les utilisateurs de Yahoo Mail", a déclaré lundi Jeffrey Bonforte, vice-président directeur des produits de communication de Yahoo, dans un article de blog. "Nos équipes travaillent dur pour apporter les modifications nécessaires aux connexions https par défaut sur Yahoo Mail, et nous sommes impatients de fournir cette couche de sécurité supplémentaire à tous nos utilisateurs."

Cette décision intervient à un moment où il y a de plus en plus de discussions sur la confidentialité et la sécurité en ligne à la suite de révélations selon lesquelles la National Security Agency des États-Unis et les agences de renseignement d'autres pays exécutent de vastes programmes de surveillance électronique..

Certains des programmes de la NSA révélés par des documents divulgués par l'ancien entrepreneur de la NSA Edward Snowden impliquent l'interception en amont du trafic Internet lors de son passage à travers les réseaux mondiaux, ainsi que la collecte de données auprès de fournisseurs de services en ligne tels que Yahoo, Microsoft, Google, Apple, Facebook, AOL et d'autres.

Le Washington Post a rapporté mardi que la NSA avait collecté en masse des carnets d'adresses en ligne auprès de Yahoo, Hotmail, Facebook, Gmail et d'autres programmes de messagerie et de chat aux points d'accès Internet contrôlés par des sociétés de télécommunications étrangères et des services de renseignement alliés..

Ce type de collecte de données en amont est quelque chose que HTTPS peut potentiellement empêcher, tant que l'implémentation est suffisamment forte. Le fournisseur de services pourrait être contraint ultérieurement de remettre les données déchiffrées à sa fin, mais au moins dans ce cas, l'interception se ferait à sa connaissance.

En plus d'empêcher la collecte de données en masse par les agences gouvernementales, HTTPS peut également empêcher les attaques de pirates, comme le vol de cookies d'authentification sur des réseaux sans fil non sécurisés ou par le biais d'attaques de script intersites..

"En tant que l'un des fournisseurs de services de messagerie Web gratuits les plus populaires au monde, Yahoo a attiré l'attention des cybercriminels au cours des derniers mois, entraînant des attaques XSS qui se sont soldées par un vol de cookies et un abus de compte ultérieur", a déclaré Bogdan Botezatu, analyste principal des menaces électroniques chez Bitdefender. . "L'introduction de SSL limitera probablement ce comportement, entre autres dangers."

Botezatu pense que tous les types de communications numériques auraient dû être passés au HTTPS / SSL il y a longtemps. Cependant, même si Yahoo sera en retard pour l'activer par rapport à d'autres fournisseurs de messagerie Web, sa décision est toujours salutaire, a-t-il déclaré..

Google a implémenté HTTPS de session complète en tant que paramètre facultatif dans Gmail en 2008 et l'a rendu standard début 2010. Microsoft a ajouté l'option dans Hotmail en novembre 2010 et l'a activée par défaut pour son service de messagerie Web Outlook.com en 2012..

Twitter a commencé à déployer HTTPS par défaut en août 2011 et Facebook en novembre 2012. Les deux services ont pris en charge HTTPS en option depuis début 2011.

La prochaine étape pour Yahoo serait de changer les connexions Yahoo Messenger en SSL par défaut également, a déclaré Botezatu. "Dans certaines régions, l'utilisation de Yahoo Messenger dépasse toujours celle des autres clients de messagerie instantanée, et les clients en dépendent pour toutes sortes de communications, du personnel aux entreprises, mais ces conversations sont toujours envoyées en texte brut, ce qui facilite la surveillance par des utilisateurs non autorisés. des soirées."

Rejoignez les communautés Network World sur Facebook et LinkedIn pour commenter des sujets qui vous tiennent à cœur.