Google active une sécurité supplémentaire pour ses services

Confidentialité persistante 38
Vincent Hermann
En termes de sécurité, l'utilisation du protocole HTTPS devient une norme et un nombre croissant de sites très visités y basculent progressivement par défaut. On a par exemple assisté l'année dernière au passage vers le HTTPS des services Live de Microsoft. Mais Google de son côté ne veut pas se contenter de la norme actuelle et va donc plus loin.

google forward secrecy 

Google indique dans un billet avoir activé lui aussi le HTTPS l’année dernière pour Gmail ainsi que la recherche chiffrée. Mais la firme veut maintenant promouvoir la confidentialité persistante. Elle cite un exemple : l’envoi de mails chiffrés aujourd’hui n’interdit pas l’enregistrement du message, même s’il ne peut pas être lu. Mais Google imagine que dans dix ans, la puissance des ordinateurs sera tout à fait capable de venir facilement à bout des protections d’aujourd’hui. En clair : l’enregistrement des données ne doit même pas être possible. Le but est donc d'assurer un conduit sécurisé avant même d'y faire circuler une information pour bloquer tout enregistrement.

Le type de sécurité que l’éditeur propose réclame une condition sine qua non : la clé privée requise pour une connexion sécurisée ne doit pas rester dans un stockage permanent quelconque. Un pirate qui arriverait à briser l’une des clés ne pourrait plus déchiffrer le message, pas plus que l’opérateur du serveur puisque le déchiffrage rétroactif ne serait plus possible.

Google annonce dans la foulée que cette nouvelle forme de sécurité a été intégrée dans Gmail, Google+, Docs, la recherche quand le SSL est activé et autres. La condition cependant pour que cette sécurité soit active est de posséder Chrome ou Firefox. L’éditeur ajoute qu’il ne manque pas grand-chose pour qu’Internet Explorer supporte lui aussi ce type de communication (la coordination des méthodes ECDHE et RC4).

Google a également publié les travaux effectués sur la bibliothèque SSL pour arriver à ce résultat.