Vidéo: Riton x Oliver Heldens - Turn Me On ft. Vula (Novembre 2024)
Oui, Yahoo a finalement activé le cryptage HTTPS pour ses utilisateurs de messagerie, mais il ne semble pas que la société fasse tout son possible pour le faire de manière réellement sécurisée.
Toutes les communications Yahoo Mail, qu'elles soient sur le Web, sur le Web mobile, via des applications mobiles ou même via IMAP, POP et SMTP, sont désormais cryptées par défaut à l'aide de certificats de 2 048 bits, a déclaré Jeff Bonforte, vice-président directeur des produits de communication de Yahoo. Yahoo Mail's Tumblr cette semaine. Ce mouvement protégera tout le contenu des courriels, des pièces jointes, des contacts, des informations du calendrier et même des données de Messenger, lorsqu'ils se déplacent entre le navigateur de l'utilisateur et les serveurs de Yahoo. Les experts en sécurité ont averti que cela ne suffisait pas.
"L'annonce par Yahoo de l'activation du cryptage HTTPS pour tous les utilisateurs de Yahoo Mail est non seulement trop tardive, mais également très troublante", a déclaré Tod Beardsley, responsable de l'ingénierie chez Metasploit chez Rapid7.
Crédit lorsqu'un crédit est dû
Yahoo a commencé à offrir aux utilisateurs soucieux de la sécurité la possibilité d'activer HTTPS pour eux-mêmes à la fin de 2012. La dernière modification signifie que le cryptage est maintenant activé par défaut, protégeant tout le monde, pas seulement ceux qui ont opté pour plus de sécurité. Considérant que la plupart des utilisateurs ne bousillent jamais dans les paramètres, c'est une bonne chose que Yahoo ait finalement activé le protocole HTTPS par défaut. Gmail utilise HTTPS par défaut depuis 2010, Microsoft a lancé Outlook.com en juillet 2012 avec cette fonctionnalité par défaut et Facebook a commencé à déployer HTTPS par défaut aux utilisateurs en novembre 2012.
Etre en retard à la fête ne serait pas si grave si Yahoo avait réfléchi à certaines de ses décisions en matière de sécurité. Bien que le cryptage par défaut soit un "grand pas en avant pour Yahoo", la "nouvelle configuration laisse beaucoup à désirer", a déclaré à Security Watch Ivan Ristic, directeur de la recherche sur la sécurité des applications à la firme de sécurité Qualys. Le plus gros problème tient au fait que Yahoo a décidé de ne pas prendre en charge le PFS (Perfect Forward Secrecy).
"Sans secret, toutes les données chiffrées sont menacées par la compromission de la clé privée", a averti Ristic.
Une introduction rapide à PFS
Avec le cryptage HTTPS de base, les pirates informatiques (ou les agents des gouvernements) qui capturent le flux de données ne peuvent pas lire le contenu car ils ne possèdent pas la clé privée de Yahoo. Toutefois, s’ils ont acquis la clé ultérieurement, ils peuvent revenir en arrière et décrypter les données précédemment capturées. Si le site implémentait Perfect Foward Secrecy, même si une personne avait accès à la clé ultérieurement, cette personne ne pouvait pas revenir en arrière et déverrouiller toutes les sessions plus anciennes.
La clé privée peut être exposée de différentes manières: par une attaque sur les serveurs de Yahoo pour voler la clé ou par la découverte d’une faiblesse du chiffre lui-même. Yahoo peut même remettre la clé, soit volontairement, soit à la suite d'une ordonnance du tribunal.
"Je ne peux pas penser à une raison légitime de préférer cette stratégie de cryptage plus faible", a déclaré Beardsley.
Pas assez bon
Selon Ristic, la mise en œuvre de Yahoo pose d'autres problèmes. Certains serveurs de messagerie HTTPS de Yahoo utilisent RC4 comme chiffrement préféré, mais RC4 est considéré comme faible. Microsoft et Cisco ont récemment éliminé l'utilisation de RC4. Il est également vulnérable aux attaques par déni de service distribué car il prend en charge la renégociation initiée par le client, selon un rapport de SSL Labs.
SSL Labs évalue les sites Web sur la sécurité générale de son implémentation SSL. Yahoo n'a qu'une cote «B».
D'autres serveurs, tels que login.yahoo.com, utilisent AES. AES est meilleur que RC4, mais Yahoo n’a pas mis en place de mesures de sécurité pour les attaques connues telles que BEAST, qui cible TLS 1.0 et les protocoles antérieurs, et CRIME, une attaque pratique contre l’utilisation de TLS dans les navigateurs. Le site prend également en charge "uniquement les anciennes versions du protocole, mais pas le TLS 1.2 le plus récent et le plus sécurisé", selon un rapport de SSL Labs.
Peut-être que Yahoo est toujours en train de régler les problèmes et qu'une sécurité renforcée sera progressivement mise en place au cours des prochaines semaines ou des prochains mois. Mais il aurait été bien d’expliquer ses plans au départ. Qu'en est-il Yahoo? Allez-vous penser à la sécurité des utilisateurs, au lieu de ce que votre équipe peut faire plus facilement?
