[Sécurité] Yahoo se lance dans le chiffrement et le mot de passe « jetable »

Sur le web

Par Elodie le

De la parole aux actes. Après avoir vertement critiqué les méthodes de surveillance de la NSA et snobé Barack Obama lors d’une récente conférence sur la cybersécurité devant formaliser la coopération des géants du web avec les autorités US, Yahoo propose une nouvelle solution de chiffrement ainsi que le mot de passe à usage unique.

Yahoo_chiffrement_mdp_jetable

Le chiffrement, le nouveau credo des géants du web ? Après le déferlement des révélations d’Edward Snowden et la polémique qui en a suivi, les principaux acteurs de la Silicon Valley se sont décidés à riposter, éclaboussés par le scandale.

Après les cris d’orfraie, la riposte. Et celle-ci passe par une nouvelle méthode de chiffrement, plus musclée, censée garantir la sécurité des échanges entre internautes et donc leur vie privée. À l’image de Whatsapp avec TextSecure, Yahoo propose désormais un chiffrement de bout-en-bout (ou end-to-end) pour sa messagerie.

yahoo_account_security_OTP

Le code source du plug-in recelant cette technologie a été publié sur GitHub et est laissé à l’appréciation de la communauté pour toute remarque ou correctif quant à d’éventuelles vulnérabilités rencontrées, comme l’explique Alex Stamos, directeur de la sécurité des systèmes d’information chez Yahoo, dans un billet de blog.

Comme il le révèle dans ce billet et lors de sa conférence au SXSW festival à Austin, Yahoo et Google ont collaboré afin que leur messagerie soit compatible avec le plug-in de chiffrement basé sur le standard OpenPGP (pour Pretty Good Privacy, logiciel de chiffrement et déchiffrement cryptographique) et qui devrait être prêt en fin d’année.

Par ailleurs, soucieux d’améliorer la sécurisation de l’authentification, Yahoo a lancé l’identification avec mot de passe à usage unique ou système OTP (One time Password), pour l’instant uniquement à destination des Américains. Ainsi, une fois la fonction activée par l’utilisateur dans les paramètres du compte et un numéro de téléphone communiqué, un code unique composé de 4 caractères lui est envoyé sur son mobile.

Encore faut-il ne pas perdre son mobile par la suite…