Dans un monde post-Snowden, les entreprises américaines mettent progressivement l’accent sur la sécurité. Après plusieurs annonces récentes dans ce domaine, Yahoo vient d’annoncer que les accès sécurisés allaient être étendus à d’autres services. Avec des conséquences à la clé pour les développeurs.
Yahoo Mail via une connexion sécurisée
Un élargissement des connexions sécurisées
Depuis le mois dernier, l’accès à Yahoo Mail se fait via une connexion sécurisée. L’adresse commence ainsi par « https » pour tout le monde, quand bien même le certificat de sécurité n’est que temporaire, comme on a pu le voir. Il s’agit pour Yahoo d’une arrivée plus que tardive car les services concurrents que sont Gmail et Outlook.com disposent depuis longtemps d’une telle capacité. Il s’agit pour autant d’un premier pas, qui ne demandait qu’à être étendu.
C’est désormais chose faite puisque la firme américaine vient d’annoncer que la connexion chiffrée concernait également les contacts et les profiles. Des informations qui sont disponibles auprès des développeurs tiers via des API. Ces dernières permettent la création de logiciels, applications et services qui peuvent alors s’interfacer avec les données de Yahoo. On peut imaginer par exemple un client email capable de synchroniser les contacts pour les exploiter ensuite.
Une modification à effectuer avant le 27 février
Or, le changement annoncé aura des retombées à très court terme pour ces développeurs car les appels doivent être modifiés pour inclure le protocole HTTPS. Le domaine de contact ne change pas et reste donc « social.yahooapis.com », mais la modification devra être faite d’ici au 27 février, veille de l’entrée en vigueur des connexions sécurisées obligatoires. Le 28 février donc, Yahoo n’acceptera plus que les connexions chiffrées, les autres étant alors refusées.
Cela va-t-il changer quoi que ce soit pour les utilisateurs ? Dans la pratique, non. Ceux qui se connectent à leur compte Yahoo dans un navigateur ne verront aucune différence, si ce n’est que l’accès aux données restera dans un mode sécurisé. Pour les services et applications tierces, là non plus aucune différence pour l’utilisateur, si toutefois la mise à jour intervient dans les temps. Dans le cas contraire, la connexion ne se fera tout simplement plus et l’utilisateur se retrouvera probablement face à une erreur.
Pourquoi si tard ?
Pour autant, ce changement de politique, même s’il semble appliqué de manière urgente, implique au final une plus grande sécurité. Qu’il s’agisse de Yahoo, de Google ou de Microsoft, tous les grands fournisseurs de services web sécurisent désormais leurs connexions passent même progressivement au chiffrement intégral. Il s’agit de l’une des nombreuses conséquences des révélations d’Edward Snowden. Ces entreprises, qui se sont dites choquées par des informations pointant vers des intrusions de la NSA dans leurs communications, mettent donc en branle de vastes plans d’amélioration de la sécurité.
Nous signalerons quand même qu’en dépit d’une étape importante, Yahoo a attendu le début de l’année 2014 pour rendre le protocole HTTPS obligatoire sur un service aussi fréquenté que son webmail.
