Google vient de livrer une mise à jour d'End-to-End, l'outil de chiffrement de bout en bout qu'il prépare pour son navigateur Chrome. Cette évolution du logiciel - proposé en version alpha en juin dernier - inclut plusieurs contributions apportées par Yahoo. Cet été, lors de la conférence BlackHat 2014, le responsable sécurité de Yahoo, Alex Stamos, avait effectivement annoncé que son équipe allait participer au projet. Google vient par ailleurs de migrer ce dernier sur GitHub.
Dans un billet, Stephan Somogyi, responsable produit sécurité et confidentialité rappelle que Google a toujours cru fermement que End-to-End devait être un projet Open Source. Le passage vers GitHub permettra de travailler plus étroitement avec la communauté. Plusieurs développeurs ont signalé des bugs dans cette première version alpha, deux d'entre eux ayant reçu une compensation financière dans le cadre du programme Vulnerability Rewards.
Gestation difficile pour le serveur de clé
Pour l'instant, End-to-End n'est pas disponible sur le Chrome Web Store. L'outil n'est pas assez abouti, mais Google rappelle qu'il est toujours en mode alpha. Le code source de l'outil fait référence à un serveur de clé sur lequel Google travaille. La distribution et la gestion de clé est l'un des problèmes les plus difficiles à résoudre dans ces produits de chiffrement, note Stephan Somogyi. Et tant que Google n'aura pas trouvé de solution satisfaisante, il ne livrera pas End-to-End autrement qu'en version alpha, explique le responsable produit.Â