Yahoo élargit le protocole HTTPS aux accès vers les contacts et les profils

Yahoo élargit le protocole HTTPS aux accès vers les contacts et les profils

Développeurs, vous n'avez que quelques semaines pour réagir

Avatar de l'auteur
Vincent Hermann

Publié dans

Logiciel

06/02/2014 3 minutes
10

Yahoo élargit le protocole HTTPS aux accès vers les contacts et les profils

Dans un monde post-Snowden, les entreprises américaines mettent progressivement l’accent sur la sécurité. Après plusieurs annonces récentes dans ce domaine, Yahoo vient d’annoncer que les accès sécurisés allaient être étendus à d’autres services. Avec des conséquences à la clé pour les développeurs.

yahoo mail

Yahoo Mail via une connexion sécurisée

Un élargissement des connexions sécurisées 

Depuis le mois dernier, l’accès à Yahoo Mail se fait via une connexion sécurisée. L’adresse commence ainsi par « https » pour tout le monde, quand bien même le certificat de sécurité n’est que temporaire, comme on a pu le voir. Il s’agit pour Yahoo d’une arrivée plus que tardive car les services concurrents que sont Gmail et Outlook.com disposent depuis longtemps d’une telle capacité. Il s’agit pour autant d’un premier pas, qui ne demandait qu’à être étendu.

 

C’est désormais chose faite puisque la firme américaine vient d’annoncer que la connexion chiffrée concernait également les contacts et les profiles. Des informations qui sont disponibles auprès des développeurs tiers via des API. Ces dernières permettent la création de logiciels, applications et services qui peuvent alors s’interfacer avec les données de Yahoo. On peut imaginer par exemple un client email capable de synchroniser les contacts pour les exploiter ensuite.

Une modification à effectuer avant le 27 février 

Or, le changement annoncé aura des retombées à très court terme pour ces développeurs car les appels doivent être modifiés pour inclure le protocole HTTPS. Le domaine de contact ne change pas et reste donc « social.yahooapis.com », mais la modification devra être faite d’ici au 27 février, veille de l’entrée en vigueur des connexions sécurisées obligatoires. Le 28 février donc, Yahoo n’acceptera plus que les connexions chiffrées, les autres étant alors refusées.

 

Cela va-t-il changer quoi que ce soit pour les utilisateurs ? Dans la pratique, non. Ceux qui se connectent à leur compte Yahoo dans un navigateur ne verront aucune différence, si ce n’est que l’accès aux données restera dans un mode sécurisé. Pour les services et applications tierces, là non plus aucune différence pour l’utilisateur, si toutefois la mise à jour intervient dans les temps. Dans le cas contraire, la connexion ne se fera tout simplement plus et l’utilisateur se retrouvera probablement face à une erreur.

Pourquoi si tard ? 

Pour autant, ce changement de politique, même s’il semble appliqué de manière urgente, implique au final une plus grande sécurité. Qu’il s’agisse de Yahoo, de Google ou de Microsoft, tous les grands fournisseurs de services web sécurisent désormais leurs connexions passent même progressivement au chiffrement intégral. Il s’agit de l’une des nombreuses conséquences des révélations d’Edward Snowden. Ces entreprises, qui se sont dites choquées par des informations pointant vers des intrusions de la NSA dans leurs communications, mettent donc en branle de vastes plans d’amélioration de la sécurité.

 

Nous signalerons quand même qu’en dépit d’une étape importante, Yahoo a attendu le début de l’année 2014 pour rendre le protocole HTTPS obligatoire sur un service aussi fréquenté que son webmail.

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Un élargissement des connexions sécurisées 

Une modification à effectuer avant le 27 février 

Pourquoi si tard ? 

Commentaires (10)




Un élargissement des connexions sécurisées



C’est bien mignon de faire de la connexion, ça rassure l’utilisateur lambda. Mais on sait pertinemment que la NSA et consort récupère les données qu’ils souhaite avant que ça passe par le serveur web. <img data-src=" />








feuille_de_lune a écrit :



C’est bien mignon de faire de la connexion, ça rassure l’utilisateur lambda. Mais on sait pertinemment que la NSA et consort récupère les données qu’ils souhaite avant que ça passe par le serveur web. <img data-src=" />





Sans compter qu’il n’est pas impossible que la NSA sache déjà décrypter les échanges (backdoor volontaire, faille connue que d’eux seuls ?).

Mais ça on n’en saura rien avant un moment :/





Depuis le mois dernier, l’accès à Yahoo Mail se fait via une connexion sécurisée. L’adresse commence ainsi par « https » pour tout le monde, quand bien même le certificat de sécurité n’est que temporaire, comme on a pu le voir.



Le passage au HTTPS ne date pas d’un mois, je l’avais déjà l’année dernière.

Et le serveur de login est en https depuis mars 2012.








psn00ps a écrit :



Le passage au HTTPS ne date pas d’un mois, je l’avais déjà l’année dernière.

Et le serveur de login est en https depuis mars 2012.







Il n’était pas ni obligatoire ni chez tout le monde. Ce qui a changé c’est la généralisation, qui a été l’occasion d’une annonce publique.



puisque le certif expire le 142, c’est pour en “offrir” un autre pour la St Valentin ? <img data-src=" />


un nouveau protocol HTTPS sécurisé.



La NSA connait bien sûr déjà la clé de décryptage et voit tout en clair <img data-src=" />




Nous signalerons quand même qu’en dépit d’une étape importante, Yahoo a attendu le début de l’année 2014 pour rendre le protocole HTTPS obligatoire sur un service aussi fréquenté que son webmail.





Snowden n’aurait rien dit, Yahoo serait probablement resté en HTTP. Signe qu’ils fpont de la sécurité des données qu’on leur confie leur priorité ! <img data-src=" />


“Ces entreprises, qui se sont dites choquées par des informations pointant vers des intrusions de la NSA dans leurs communications, mettent donc en branle de vastes plans d’amélioration de la sécurité.”



Mais bien sûr ! La NSA aurait opéré sans leur consentement ! Bah voyons !



<img data-src=" />


C’est marrant les commentaires parce que ça piaille “NSA par ci, NSA par là” mais ça utilise Google Search, Android et peut-être bien pire, Chrome, le tout sous Windows, bien sûr. Bref, que des services/logiciels américains. Cela me fait doucement rigoler.








RRMX a écrit :



C’est marrant les commentaires parce que ça piaille “NSA par ci, NSA par là” mais ça utilise Google Search, Android et peut-être bien pire, Chrome, le tout sous Windows, bien sûr. Bref, que des services/logiciels américains. Cela me fait doucement rigoler.





+1

Y a pas que la NSA qui en a après nos communications, faut arrêter de focaliser sur eux.



Ce genre de chiffrement généralisé est à priori une avancée contre les pirates, les patrons un peu trop curieux, les script-kiddies sur wifi publics, etc…