Chiffrement renforcé et mot de passe on demand pour Yahoo Mail

AuthentificationNavigateursPoste de travailSécurité

Yahoo a annoncé deux fonctionnalités pour renforcer et simplifier la sécurité de son service de messagerie : le chiffrement de bout en bout et un service de mot de passe à la demande.

Alors que les Etats-Unis se passionnent pour l’emailgate qui touche Hilary Clinton et Jeb Bush, le service de messagerie de Yahoo prend le chemin de ses petits camarades dans le chiffrement. A l’occasion de la conférence South by Southwest, la firme américaine a montré la capacité de Yahoo Mail à faire du chiffrement de bout en bout. Actuellement en bêta pour les développeurs, cette fonction devrait être généralisée « avant la fin de l’année », a indiqué Alex Satmos, RSSI de Yahoo.

A cette fin, il a livré un plug-in avec son code sur GitHub pour que les spécialistes de la sécurité puissent travailler dessus. Pour rappel, Yahoo et Google ont travaillé ensemble sur ce service basé sur le standard PGP (disponible notamment dans un plugin pour Chrome) pour aboutir à une solution de chiffrement de bout en bout facile d’utilisation. « Si vous arrivez à écrire un mail, alors vous serez capable d’utiliser sans problème notre service de chiffrement de message », souligne Alex Satmos dans un blog. Reste que la mise en place d’une telle politique n’est pas aussi simple et nécessite une intégration poussée. Il y a un an Facebook et Twitter avaient mis de côté leurs travaux sur ce sujet. Le réseau social avait indiqué à nos confrères de The Verge que cela « nécessite généralement un processus manuel d’échanges des clés publiques entre l’émetteur et le récepteur à chaque fois qu’ils envoient un e-mail ou tout autre type de message ».

PGP yahoo

La décision de Yahoo d’intégrer le chiffrement de bout en bout des emails répond aux inquiétudes des abonnés après les révélations des documents d’Edward Snowden. La NSA et la CIA, soutenues par l’administration Obama, sont contre un cryptage renforcé sans moyen d’interception dans le cadre de la sécurité nationale.

Tuer le mot de passe avec le SMS

L’autre fonctionnalité présentée à la même conférence est un service de mot de passe à la demande. Concrètement, les utilisateurs qui auront perdu leur mot de passe n’auront pas besoin de passer par un système de question ou de réinitialisation pour avoir accès à leur compte. Au lieu de cela, l’internaute recevra par SMS un code pour s’authentifier sur le réseau. Le code ainsi envoyé est temporaire et une fois expiré il faudra demander un autre code.

Ce procédé est une alternative au mot de passe selon Yahoo et à la solution d’authentification à deux facteurs qui ne recueille pas une grande adhésion actuellement. Pour bénéficier, de la fonction mot de passe à la demande, l’abonné devra indiquer dans ses paramètres son numéro de téléphone.

A lire aussi :

Android Lollipop rétropédale sur le chiffrement par défaut
UE : les acteurs IT forcés à livrer les clés de chiffrement ?


Lire la biographie de l´auteur  Masquer la biographie de l´auteur