Face à la NSA, Yahoo promet le chiffrement intégral des données

2014 sera l’année du chiffrement pour Yahoo. Alors que le scandale de la surveillance américaine par la NSA continue de provoquer des échos dans le paysage de la sécurité, la firme a décidé de généraliser la pratique à l’ensemble de ses services pour les communications inter-serveurs.

Yahoo face au scandale Prism 

Depuis les premiers éléments fournis par le lanceur d’alertes Edward Snowden, Yahoo apparaît régulièrement dans les actualités consacrées à Prism. Selon les documents internes de la NSA (National Security Agency), la firme de Marissa Meyer semble la toute première en termes de volumes de données transmises à l’agence. L’une des explications qui était d’ailleurs avancée il y a plusieurs mois était que Yahoo ne chiffrait pratiquement pas son contenu.

Le chiffrement des données permet pour rappel de brouiller les écoutes car l’observateur ne peut pas lire le contenu sans posséder la bonne clé. Or, aucun service de Yahoo n’était effectivement chiffré jusqu’à ce jour, Mail étant le premier à s’y mettre, pour une transition qui devrait être terminée en janvier. Cela signifie que pour la NSA, la lecture des données ne pose aucun problème, contrairement à ce qui peut se faire chez Microsoft, Apple ou encore Google.

Toutes les données seront chiffrées en SSL 2048 bits 

Il n’est donc pas étonnant de voir sur le blog de Marissa Meyer une annonce importante sur le sujet. Voilà tout à coup que la firme décide en effet de passer au « tout chiffré ». La présidente plante d’ailleurs le décor très simplement : « Comme vous le savez, il y a eu plusieurs rapports durant les six derniers mois au sujet de la récupération par la NSA de données utilisateurs sans que les entreprises technologies soient au courant, y compris Yahoo. Je veux réitérer ce que nous avons déjà dit dans le passé : Yahoo n’a jamais donné l’accès de ses centres de données à la NSA ou à toute autre agence gouvernementale. Jamais. »

Marissa Meyer en profite pour confirmer une information importante : d’ici le 8 janvier, l’ensemble des données transitant par Yahoo Mail seront chiffrées via une clé SSL 2048 bits et les connexions au service se feront donc obligatoirement en HTTPS. Certains seront d’ailleurs étonnés que de telles connexions se fassent toujours en clair.

Une transition terminée d'ici la fin du premier trimestre 2014

La présidente enchaine sur trois annonces toutes aussi cruciales pour la protection. D’une part, le chiffrement sera étendu à la totalité des données qui circulent entre les serveurs de l’entreprise d’ici la fin du premier trimestre 2014. D’autre part, une nouvelle option sera présentée aux utilisateurs pour leur permettre de chiffrer l’intégralité des données entrantes et sortantes des services de Yahoo. Enfin, la firme américaine travaille avec l’ensemble de ses partenaires pour que les solutions basées sur Yahoo Mail incorporent les mêmes changements.

Des changements qui interviennent bien tard pour Yahoo et il est difficile de ne pas y voir une réaction franche à la montée de la polémique autour de la surveillance de la NSA et la crise de confiance chez une partie des utilisateurs. Car l’absence de chiffrement des données ne concerne pas que l’affaire Prism et ses multiples rebondissements : elle fragilise la sécurité des informations personnelles quand elles transitent sur une simple connexion internet. Et Yahoo apparaît d’autant plus isolé qu’elle est la seule dans les grands fournisseurs de services à n’avoir pas protégé ses communications. Signalons toutefois qu’il existe une exception : Microsoft, qui ne chiffre qu’en partie les communications entre ses serveurs.

Une position étrangement effacée 

Nous pointerons de notre côté une communication clairement orientée de la part de l’entreprise. Marissa Meyer ne peut pas en effet aborder l’angle de la surveillance américaine en soulignant seulement que « des rapports » ont permis de montrer que la NSA se procurait des données personnelles sans que les entreprises soient au courant. Il est évident que l'agence était en contact avec les grandes sociétés impliquées dans le cloud et de nombreux documents dérobés par Snowden, et publiés dans le Washington Post, The Guardian ou encore Der Spiegel pointaient dans cette direction. Il s’agissait d’ailleurs des tout premiers échos de Prism. Mais la situation de Yahoo est actuellement particulière.

La société va devoir restaurer la confiance de ses utilisateurs, du moins qui suivent l’actualité et se demandent pourquoi leurs informations circulaient en clair sur les réseaux. Elle va devoir également communiquer intelligemment face à la NSA et se démarquer. Sur ce terrain, elle a aussi du retard, puisque Microsoft et Google par exemple se sont associées pour déposer plainte contre le gouvernement. La raison ? Obtenir l’autorisation de publier des rapports beaucoup plus précis sur ce qui est demandé par l’agence de renseignement. Là non plus, Yahoo n’a pas pris de position forte et est restée globalement trop silencieuse.

Il n’en reste pas moins que le chiffrement intégral des communications est une mesure dans le sens des utilisateurs, pour des questions globales de sécurité. Comme le cryptologue Bruce Schneier l’indiquait récemment durant une conférence sur les conséquences des méthodes de la NSA, l’élévation du niveau de sécurité des télécommunications profite à tous : si l’agence pratique la surveillance pour des besoins de lutte antiterroriste, d’autres ont des intentions moins « nobles » quand il s’agit de récupérer des informations personnelles.