Cela fait longtemps que les experts en sécurité, les défenseurs de la vie privée et les utilisateurs attendent que Yahoo crypte par défaut les sessions de son service de messagerie en ligne. Cette fonction de sécurité était déjà offerte par les plus importants fournisseurs de service de messagerie. En novembre 2012, l'Electronic Frontier Foundation (EFF) plus d'autres associations de défense de la vie privée et de la sécurité et des associations de défense des droits de l'homme, avaient demandé à Marissa Mayer, CEO de Yahoo, d'ajouter le support HTTPS à ses services de communication, notamment le courriel et la messagerie instantanée.

Le HTTPS, qui combine le protocole de communication web HTTP avec le protocole de chiffrement Secure Sockets Layer (SSL), est largement utilisé pour sécuriser les connexions entre les utilisateurs et les sites web, et empêche que les données sensibles ne soient interceptées et lues par des tiers non autorisés pendant le transit. Depuis la fin de l'année dernière, Yahoo a commencé à déployer une nouvelle interface web pour Yahoo Mail offrant du HTTPS pendant tout la session de connexion, mais le service n'était proposé qu'en option. Pour activer la fonction, les utilisateurs doivent se rendre dans leurs paramètres de compte email et cocher la case « Utiliser SSL » dans la section « Sécurité ». Hier, dans un blog, Jeffrey Bonforte, le vice-président senior produits de communication de Yahoo, a annoncé qu'à partir « du 8 janvier 2014, les connexions HTTPS cryptées seront activées par défaut pour tous les utilisateurs de Yahoo Mail ». Ajoutant : « Nos équipes travaillent d'arrache-pied pour effectuer les changements nécessaires qui permettront d'offrir du HTTPS en standard sur Yahoo Mail, et nous sommes impatients de livrer cette couche supplémentaire de sécurité à tous nos utilisateurs ».

La sécurité des données est devenue un sujet brulant

La décision intervient à un moment où les débats sur la confidentialité et la sécurité en ligne occupent le devant de la scène après les révélations selon lesquelles l'Agence de sécurité nationale américaine (NSA) et les agences de renseignement d'autres pays mènent de vastes programmes de surveillance électronique. Selon les documents révélés par l'ancien consultant de la NSA, Edward Snowden, l'agence américaine intercepte le trafic Internet en amont quand il transite par les réseaux mondiaux, et collecte directement des données auprès des fournisseurs de services en ligne, dont Yahoo, Microsoft, Google, Apple, Facebook, AOL et d'autres. Hier, le Washington Post a rapporté que la NSA collectait des carnets d'adresses en ligne en vrac à partir de Yahoo, Hotmail, Facebook, Gmail, d'autres logiciels de messagerie électronique et de chat aux points d'accès à Internet contrôlés par des sociétés de télécommunications étrangères et des services de renseignement alliés.

Le HTTPS peut prévenir ce genre de collecte de données en amont à condition que sa mise en oeuvre soit assez forte. Par la suite, le fournisseur de services peut être contraint de remettre des données décryptées, mais dans ce cas au moins, il en serait informé. En plus d'empêcher la collecte des données en vrac par les agences gouvernementales, le HTTPS peut également empêcher les attaques de pirates, par exemple le vol de cookies d'authentification sur les réseaux sans fil non sécurisés ou les attaques de type cross-site scripting (XSS). « Yahoo est l'un des fournisseurs de service de webmail gratuits les plus populaires au monde. Cela lui a valu d'être ces derniers mois la cible des cybercriminels. Le service a été victime d'attaques XSS avec pour conséquence le vol de cookies et des intrusions dans les comptes utilisateurs », a rappelé Bogdan Botezatu, analyste senior, spécialiste des menaces chez Bitdefender. Selon lui, « l'introduction du SSL va probablement limiter l'impact de ces attaques, entre autres choses ». L'analyste estime que toutes les communications numériques auraient dû passer au HTTPS/SSL depuis longtemps. « Et même si Yahoo est très en retard par rapport à d'autres fournisseurs de webmail, sa décision est salutaire », a-t-il déclaré.

Yahoo rattrape son retard

Depuis 2008, Google a ajouté le HTTPS pleine session en option dans Gmail et le protocole est activé par défaut depuis début 2010. Microsoft a ajouté la fonction dans Hotmail en novembre 2010 et le HTTPS est activé par défaut dans son service webmail Outlook.com depuis 2012. Twitter a démarré le déploiement du HTTPS par défaut en août 2011 et Facebook en novembre 2012. Dans ces deux services, le HTTPS était en option depuis le début 2011. « La prochaine étape pour Yahoo serait de passer les connexions de Yahoo Messenger en SSL par défaut », a déclaré Bogdan Botezatu. « Dans certaines régions, Yahoo Messenger est le client de messagerie instantanée le plus utilisé, et de nombreux utilisateurs s'en servent pour toutes sortes de communications personnelles ou professionnelles, mais les conversations qui se passent toujours en texte brut sont très faciles à intercepter ».