« En laissant aux utilisateurs de Yahoo Mail la possibilité d'utiliser le protocole HTTPS pour accéder à leurs comptes de courrier électronique en toute sécurité, Yahoo commence bien l'année», s'est réjouie l'Electronic Frontier Foundation (EFF) en début de semaine. En novembre, l'EFF, avec d'autres militants et associations de défense de la vie privée, de la sécurité et des droits de l'homme, avait demandé à Marissa Mayer, CEO de Yahoo, d'implémenter le HTTPS dans ses services de communication, notamment le mail et la messagerie instantanée.
Le HTTPS combine les protocoles HTTP et SSL/TLS pour crypter le trafic entre clients et serveurs Web de façon à empêcher des pirates éventuels d'intercepter et de voir les informations potentiellement sensibles transitant sur le réseau. Cette absence de cryptage HTTPS pendant toute la durée d'une session web peut être exploitée par des attaquants pour pirater les comptes et intercepter le trafic sur les réseaux WiFi ouverts. Elle permet également à certains gouvernements qui cherchent à contrôler l'infrastructure Internet dans leur pays d'espionner les communications privées de militants politiques, de journalistes et autres dissidents. « Ces dernières années, les experts ont maintes fois demandé à Yahoo d'adopter le protocole HTTPS, mais le fournisseur n'avait jusque-là pris aucune mesure en ce sens », écrivaient en novembre les défenseurs de la vie privée dans la lettre adressée à Marissa Mayer. « Malheureusement, ce retard met en danger les utilisateurs, ce qui est particulièrement inquiétant, d'autant que Yahoo Mail est largement utilisé dans de nombreux pays parmi les plus répressifs de la planète ».
Une messagerie jugée peu sûre
« Plusieurs rapports ont montré que des militants politiques et des opposants avaient été arrêtés et interrogés sur la base de messages électroniques interceptés par les autorités et que des copies de leurs messages avaient servis de preuve pour les mettre en cause. D'où l'importance de fournir des mesures de base pour protéger la confidentialité des courriels. Certains d'entre nous ont déjà été contraints de recommander aux utilisateurs d'éviter l'usage de Yahoo Mail à cause de son manque persistant de protections essentielles de sécurité », avaient-ils encore écrit.
C'est le 11 décembre que Yahoo a commencé à déployer la nouvelle interface utilisateur Yahoo Mail pour le web et Windows 8. Le fournisseur a également livré des mises à jour pour ses applications mobiles Yahoo ! Mail pour iPhone et Android. La nouvelle interface de messagerie de Yahoo permet désormais de choisir « Activer le SSL » dans le menu Options de Mail. Cependant, ce paramètre est désactivé par défaut et doit être activé manuellement par les utilisateurs qui souhaitent profiter du cryptage. « Si vous utilisez Yahoo Mail, activez dès maintenant cette option pour protéger votre vie privée pendant la lecture et l'écriture de vos messages » a vivement recommandé l'EFF en début de semaine. « Nous sommes rassurés de voir que Yahoo! prend désormais en charge le protocole HTTPS au niveau mondial pour son courrier et sa messagerie. C'est une étape importante, attendue depuis longtemps, pour garantir la sécurité et la confidentialité des utilisateurs, » a déclaré sur son blog l'association AccessNow.org qui a également signé la lettre envoyée à Yahoo en novembre. « Nous ferons une analyse technique de cette mise en oeuvre, mais en attendant, nous pensons que cette décision répond à certaines préoccupations exprimées par la société civile et les experts en sécurité, et témoigne d'un renforcement continu de la confidentialité des services du fournisseur ».
Gmai a proposé cette option en 2008
Voilà un certain temps que les concurrents de Yahoo supportent le HTTPS. Ainsi, dès 2008, Google a ajouté le HTTPS en option sur Gmail, et début 2010, le protocole sécurisé a été activé par défaut pour tous les utilisateurs du service de messagerie du géant de l'Internet. Microsoft a ajouté cette option à Hotmail en novembre 2010 et son nouveau service de messagerie Outlook.com l'utilise par défaut. Facebook et Twitter supportent le HTTPS depuis 2011, et courant 2012, le protocole a été activé par défaut pour tous leurs utilisateurs. « La prochaine étape importante pour Yahoo serait d'activer le HTTPS par défaut au niveau mondial sur l'ensemble de ses produits et services », a ajouté Access. En attendant, l'EFF va peaufiner son extension HTTPS Everywhere pour les navigateurs Internet : celle-ci activera systématiquement le HTTPS dans Yahoo ! Mail, même si l'utilisateur ne sait pas que cette option est disponible dans la messagerie de Yahoo.