/image%2F1490620%2F20160113%2Fob_f72574_clap-blog.jpg)
Le 16 mars 2015
Chiffrement, et mot de passe jetable
Yahoo a soumis sur GitHub le code d’un plugin permettant de chiffrer de bout-en-bout les courriels envoyés depuis son service de messagerie. La firme veut aussi faire disparaître le mot de passe et implémente un système OTP, un mot de passe à usage unique.
Depuis les révélations autour d’Edward Snowden concernant l’espionnage américain, la sécurité et la confidentialité des communications préoccupent nettement plus les fournisseurs de services en ligne, dont Yahoo et Google.
La firme de Marissa Mayer a ainsi notamment choisi d’adopter le chiffrement des échanges.
Et dans ce cadre, Yahoo travaille à une solution de chiffrement de bout-en-bout de la messagerie par l’intermédiaire d’un plugin.
Stamos répond à la NSA avec un plugin
Afin de s’assurer de la robustesse de cette technologie, le directeur de la sécurité de Yahoo, Alex Stamos, fait appel à l’expertise de la communauté.
Le code du plugin a été publié sur GitHub et disponible pour être audité et les vulnérabilités identifiées.
Yahoo a collaboré avec Google pour que leurs systèmes de messagerie soient compatibles avec le plugin de chiffrement, qui devrait être finalisé d’ici la fin de l’année et est basé sur le standard OpenPGP.
A noter que Yahoo, comme d’autres services Web, planche également sur la sécurisation de la phase d’authentification. Comment ? En proposant des méthodes alternatives au mot de passe classique, dont la vulnérabilité est établie.
Ainsi, Yahoo a implémenté un système OTP ou One Time Password. Après avoir activé la fonction et communiqué un numéro de téléphone mobile Yahoo, l’utilisateur n’a plus à mémoriser son mot de passe habituel.
Lors de la connexion, l’internaute n’a qu’à cliquer sur le bouton déclenchant l’envoi du mot de passe. Celui-ci parvient sous la forme d’un SMS comportant un code de 4 caractères. Il ne reste plus qu'à le saisir pour se connecter.
