Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Yahoo Mail : mots de passe à la demande et chiffrement simplifié

Du mieux, mais pas encore la panacée
Internet 3 min
Yahoo Mail : mots de passe à la demande et chiffrement simplifié
Crédits : maxkabakov/iStock/Thinkstock

Afin de mieux protéger l’accès à son service Mail, Yahoo va proposer des mots de passe « à la demande ». L’utilisateur n’aura alors plus à utiliser son mot de passe classique pour se connecter à l’interface web, mais s’en fera à la place expédier un qui ne servira qu’une seule fois. Une solution déjà utilisée par Microsoft pour Outlook.com lorsqu’on souhaite se connecter depuis une machine publique.

Des mots de passe « jetables »

La problématique des mots de passe est bien connue. Le sujet revient régulièrement dans nos colonnes : trop faibles la plupart du temps, ils n’offrent qu’une protection très relative. Dans la plupart des cas, les utilisateurs sont confrontés à un choix douloureux. En effet, plus on souhaite sécuriser un accès, plus le mot de passe doit être complexe, moins il est simple à retenir. On peut évidemment le noter sur un bout de papier ou utiliser un gestionnaire de mots de passe, mais chaque solution a ses avantages et inconvénients. Dans le premier cas, on peut perdre le papier ou se le faire voler, tandis que dans le second, il faut par exemple envisager une solution synchronisée pour avoir ses mots de passe sur les plateformes mobiles.

Les mots, même longs et complexes, sont également vulnérables sur des machines publiques ou empruntés. Elles peuvent très bien être contaminées par des malwares et autres keyloggers qui enregistrent les frappes au clavier. Pour contourner le problème, Yahoo met désormais à disposition des mots de passe « à la demande » aux États-Unis. Plutôt que de risquer la sécurité de ses identifiants, Yahoo peut ainsi envoyer un mot par SMS, qui ne servira alors qu’une seule fois.

Une solution complémentaire, mais pas universelle

La fonctionnalité n’est pas activée par défaut. L’utilisateur doit se rendre dans les options et l’actionner manuellement. Il s’agit d’une solution différente de celle retenue par Microsoft, qui propose des mots de passe à usage unique depuis plus de deux ans maintenant. En effet, une fois l’option active, le champ du mot de passe est remplacé par un bouton provoquant l’envoi d’un SMS. D’ailleurs, le numéro de téléphone est obligatoire pour valider la nouvelle procédure.

Cette solution représente un évident pas en avant pour la sécurité, si les utilisateurs se donnent la peine de l’utiliser. Elle ne peut pas être aussi efficace que l’identification à deux facteurs (que Yahoo propose également) puisque le seul vol du smartphone permettrait de compromettre le compte. Il faut également que cette possibilité soit connue et que les utilisateurs ne soient pas rebutés par la perspective d’attendre un mot de passe différent à chaque connexion. Dans tous les cas, la fonctionnalité ne concerne que la connexion à l’interface web : les accès configurés dans les clients email ne changent pas.

Pour Yahoo, cette option permettra de ne plus avoir à retenir un long mot de passe et de ne pas succomber à la tentation d’en mettre volontairement un très simple à retenir… et donc à deviner. Pour l’instant, elle n’est disponible qu’aux États-Unis, mais elle sera disponible au cours des prochains mois dans les autres marchés. Yahoo fonde en tout cas de grands espoirs sur cette option. Interrogé par Cnet, un porte-parole de la firme, Dylan Casey, a en effet indiqué qu'il s'agissait là de la « première étape vers la disparition des mots de passe ».

Faciliter le chiffrement des emails

Le chiffrement des emails n’a rien de neuf, mais se heurte à une barrière que nous avons abordée bien souvent : la complexité de la mise en œuvre et/ou la facilité d’utilisation au quotidien. Yahoo travaille donc sur cet aspect en misant sur l’extension Chrome End-to-End, proposée par Google.

Yahoo a réalisé une démonstration durant la conférence SXSW pour prouver que sa solution sera beaucoup plus simple à paramétrer et utiliser. Cependant, la version maison de l’extension End-to-End est encore en alpha et ne peut pas être utilisée. De plus, elle n’aura pas vocation à chiffrer tous les emails, mais seulement ceux pour lesquels le niveau de sensibilité sera plus élevé.

29 commentaires
Avatar de Commentaire_supprime Abonné
Avatar de Commentaire_supprimeCommentaire_supprime- 16/03/15 à 10:33:33

Pas mal l'idée du MDP à usage unique envoyé par SMS.

J'ai vu chez Outlook qu'il y avait l'équivalent mais je n'ai pas compris comment ça fonctionnait. Je vais voir quand même, à suivre.

Avatar de jb18v Abonné
Avatar de jb18vjb18v- 16/03/15 à 10:35:05

Alors eux depuis 10j ils me les brisent, à chaque ouverture d'un navigateur, un onglet Yahoo Mail m'invitant à saisir mon mdp. Alors qu'il y'a bien un cookie et si je vais moi même vers la boite je suis bien identifié. Mais en pratique c'est lourd, parce que la page de saisie du mdp est souvent avec une énorme pub vidéo qui prend 90% de la surface :cartonrouge:

sinon je suis content du webmail :D

Avatar de CrazyCaro Abonné
Avatar de CrazyCaroCrazyCaro- 16/03/15 à 10:38:44

jb18v a écrit :

Alors eux depuis 10j ils me les brisent, à chaque ouverture d'un navigateur, un onglet Yahoo Mail m'invitant à saisir mon mdp. Alors qu'il y'a bien un cookie et si je vais moi même vers la boite je suis bien identifié. Mais en pratique c'est lourd, parce que la page de saisie du mdp est souvent avec une énorme pub vidéo qui prend 90% de la surface :cartonrouge:

Pareil, mais depuis bien plus longtemps. Y'a des moments où le mdp est mémorisé et d'autres où il faut le taper à chaque fois... :mad2:

L'idée du mdp à usage unique n'est pas mauvaise en soi, mais ça présuppose que tout le monde ait un smartphone (ou au moins un téléphone portable). ET ait envie de communiquer son numéro.

(Je sais, faut vivre avec son temps, tout ça... :roll: )

Avatar de Commentaire_supprime Abonné
Avatar de Commentaire_supprimeCommentaire_supprime- 16/03/15 à 10:43:42

CrazyCaro a écrit :

Pareil, mais depuis bien plus longtemps. Y'a des moments où le mdp est mémorisé et d'autres où il faut le taper à chaque fois... :mad2:

L'idée du mdp à usage unique n'est pas mauvaise en soi, mais ça présuppose que tout le monde ait un smartphone (ou au moins un téléphone portable). ET ait envie de communiquer son numéro.

(Je sais, faut vivre avec son temps, tout ça... :roll: )

Moi, ça me convient, j'ai toujours mon smartphone sur moi et je ne paye pas 20€ d'abo mensuel pour rien.

Je viens de tester le code jetable de Microsoft, ça fonctionne bien et c'est bien pratique, les rares fois au bureau où je dois me connecter sur mon compte-poubelle (doté d'un mot de passe tordu dans les règles de l'art :D ), ça sera une sécurité de plus.

Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 16/03/15 à 10:47:36

le seul vol du smartphone permettrait de compromettre le compte

L'avantage c'est qu'on peut configurer le niveau de sécurité de son smartphone en fonction du risque/paranoia (accès libre, code pin, pass-phrase, biométrie, ...). Alors qu'on ne peut pas faire cela pour les sites webs.

Avatar de NonMais INpactien
Avatar de NonMaisNonMais- 16/03/15 à 10:54:49

Moi le problème dans ces trucs là c'est que non seulement ils peuvent lire tes mails pour te profiler mais en plus ils vont pouvoir t'inonder de SMS de promotions diverses et variées. Car, bon, donner son n° de téléphone portable, c'est l'assurance de recevoir un nombre de SMS*10.
C'est toujours la même histoire : c'est pour votre sécurité, pour votre bien... et puis les effets de bords ou bien pensés cyniquement depuis le début... (au choix du niveau de paranoïa de chacun). C'est la même chose pour les lois. Plus d'intrusion pour plus de sécurité.

Avatar de DuncanV Abonné
Avatar de DuncanVDuncanV- 16/03/15 à 10:57:52

Moi aussi, tout pareil :kill:
Du coup je fais transférer tous mes mails sur ma boite Gmail et lorsque je réponds à un mail venant de Yahoo, Gmail me laisse le choix de l'adresse électronique avec laquelle répondre :smack:.

Avatar de DayWalker Abonné
Avatar de DayWalkerDayWalker- 16/03/15 à 10:58:26

Retenir un long mot de passe (> 10 caractères) robuste n'est pas compliqué si on ne retient que la "recette", et qu'on y inclue un ingrédient qui dépend du site où l'on se connecte...

Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 16/03/15 à 11:04:57

Quelle que soit la longueur/robustesse du mot de passe, une fois qu'un pirate le connait (vol, interception, ...) il peut le réutiliser sans le consentement du propriétaire.

D'où cette news sur le mdp à usage unique. :D

Édité par 127.0.0.1 le 16/03/2015 à 11:05
Avatar de jb18v Abonné
Avatar de jb18vjb18v- 16/03/15 à 11:06:37

Ah je suis pas le seul, ça me rassure :D

DuncanV a écrit :

Moi aussi, tout pareil :kill:
Du coup je fais transférer tous mes mails sur ma boite Gmail et lorsque je réponds à un mail venant de Yahoo, Gmail me laisse le choix de l'adresse électronique avec laquelle répondre :smack:.

j'en suis pas là, et ça me lefait pas au boulot par exemple (j'ai pas d'extension Yahoo Mail notifier aussi ici, ça joue peut être ? ou alors le fait qu'on soit bloqué en ESR 24 :crever:)

Édité par jb18v le 16/03/2015 à 11:08
Il n'est plus possible de commenter cette actualité.
Page 1 / 3
  • Introduction
  • Des mots de passe « jetables »
  • Une solution complémentaire, mais pas universelle
  • Faciliter le chiffrement des emails
S'abonner à partir de 3,75 €