Yahoo Mail : mots de passe à la demande et chiffrement simplifié

Yahoo Mail : mots de passe à la demande et chiffrement simplifié

Du mieux, mais pas encore la panacée

Avatar de l'auteur

Vincent Hermann

Publié dansInternet

16/03/2015
29
Yahoo Mail : mots de passe à la demande et chiffrement simplifié

Afin de mieux protéger l’accès à son service Mail, Yahoo va proposer des mots de passe « à la demande ». L’utilisateur n’aura alors plus à utiliser son mot de passe classique pour se connecter à l’interface web, mais s’en fera à la place expédier un qui ne servira qu’une seule fois. Une solution déjà utilisée par Microsoft pour Outlook.com lorsqu’on souhaite se connecter depuis une machine publique.

Des mots de passe « jetables »

La problématique des mots de passe est bien connue. Le sujet revient régulièrement dans nos colonnes : trop faibles la plupart du temps, ils n’offrent qu’une protection très relative. Dans la plupart des cas, les utilisateurs sont confrontés à un choix douloureux. En effet, plus on souhaite sécuriser un accès, plus le mot de passe doit être complexe, moins il est simple à retenir. On peut évidemment le noter sur un bout de papier ou utiliser un gestionnaire de mots de passe, mais chaque solution a ses avantages et inconvénients. Dans le premier cas, on peut perdre le papier ou se le faire voler, tandis que dans le second, il faut par exemple envisager une solution synchronisée pour avoir ses mots de passe sur les plateformes mobiles.

Les mots, même longs et complexes, sont également vulnérables sur des machines publiques ou empruntés. Elles peuvent très bien être contaminées par des malwares et autres keyloggers qui enregistrent les frappes au clavier. Pour contourner le problème, Yahoo met désormais à disposition des mots de passe « à la demande » aux États-Unis. Plutôt que de risquer la sécurité de ses identifiants, Yahoo peut ainsi envoyer un mot par SMS, qui ne servira alors qu’une seule fois.

Une solution complémentaire, mais pas universelle

La fonctionnalité n’est pas activée par défaut. L’utilisateur doit se rendre dans les options et l’actionner manuellement. Il s’agit d’une solution différente de celle retenue par Microsoft, qui propose des mots de passe à usage unique depuis plus de deux ans maintenant. En effet, une fois l’option active, le champ du mot de passe est remplacé par un bouton provoquant l’envoi d’un SMS. D’ailleurs, le numéro de téléphone est obligatoire pour valider la nouvelle procédure.

Cette solution représente un évident pas en avant pour la sécurité, si les utilisateurs se donnent la peine de l’utiliser. Elle ne peut pas être aussi efficace que l’identification à deux facteurs (que Yahoo propose également) puisque le seul vol du smartphone permettrait de compromettre le compte. Il faut également que cette possibilité soit connue et que les utilisateurs ne soient pas rebutés par la perspective d’attendre un mot de passe différent à chaque connexion. Dans tous les cas, la fonctionnalité ne concerne que la connexion à l’interface web : les accès configurés dans les clients email ne changent pas.

Pour Yahoo, cette option permettra de ne plus avoir à retenir un long mot de passe et de ne pas succomber à la tentation d’en mettre volontairement un très simple à retenir… et donc à deviner. Pour l’instant, elle n’est disponible qu’aux États-Unis, mais elle sera disponible au cours des prochains mois dans les autres marchés. Yahoo fonde en tout cas de grands espoirs sur cette option. Interrogé par Cnet, un porte-parole de la firme, Dylan Casey, a en effet indiqué qu'il s'agissait là de la « première étape vers la disparition des mots de passe ».

Faciliter le chiffrement des emails

Le chiffrement des emails n’a rien de neuf, mais se heurte à une barrière que nous avons abordée bien souvent : la complexité de la mise en œuvre et/ou la facilité d’utilisation au quotidien. Yahoo travaille donc sur cet aspect en misant sur l’extension Chrome End-to-End, proposée par Google.

Yahoo a réalisé une démonstration durant la conférence SXSW pour prouver que sa solution sera beaucoup plus simple à paramétrer et utiliser. Cependant, la version maison de l’extension End-to-End est encore en alpha et ne peut pas être utilisée. De plus, elle n’aura pas vocation à chiffrer tous les emails, mais seulement ceux pour lesquels le niveau de sensibilité sera plus élevé.

29
Avatar de l'auteur

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Mur d’OVHcloud à Roubaix, avec le logo OVHcloud

OVHcloud Summit 2023 : SecNumCloud, IA et Local Zones

Des mini datacenters… Ouais une baie quoi ?

19:03HardwareInternet 0
algorithmes de la CAF

Transparence, discriminations : les questions soulevées par l’algorithme de la CAF

0/1

17:53IA et algorithmesSociété numérique 3

Plainte contre l’alternative paiement ou publicité comportementale de Meta

Schrems vs Meta, saison 3

17:31DroitIA et algorithmes 8

Sommaire de l'article

Introduction

Des mots de passe « jetables »

Une solution complémentaire, mais pas universelle

Faciliter le chiffrement des emails

Mur d’OVHcloud à Roubaix, avec le logo OVHcloud

OVHcloud Summit 2023 : SecNumCloud, IA et Local Zones

HardwareInternet 0
algorithmes de la CAF

Transparence, discriminations : les questions soulevées par l’algorithme de la CAF

IA et algorithmesSociété numérique 3

Plainte contre l’alternative paiement ou publicité comportementale de Meta

DroitIA et algorithmes 8
Nuage (pour le cloud) avec de la foudre

Économie de la donnée et services de cloud : l’Arcep renforce ses troupes

DroitInternet 0
De vieux ciseaux posés sur une surface en bois

Plus de 60 % des demandes de suppression reçues par Google émanent de Russie

Société numérique 4
Une vieille boussole posée sur un plan en bois

La Commission européenne et Google proposent deux bases de données de fact-checks

DroitInternet 2

#LeBrief : des fichiers Google Drive disparaissent, FreeBSD 14, caméras camouflées, OnePlus 12

0

Le poing Dev – round 6

Next 130

Produits dangereux sur le web : nouvelles obligations en vue pour les marketplaces

Droit 6
consommation de l'ia

Usages et frugalité : quelle place pour les IA dans la société de demain ?

IA et algorithmes 12

La NASA établit une liaison laser à 16 millions de km, les essais continuent

Sciences et espace 17
Concept de CPU

Semi-conducteurs : un important accord entre l’Europe et l’Inde

Hardware 6

#LeBrief : PS5 Slim en France, Valeo porte plainte contre NVIDIA, pertes publicitaires X/Twitter

0
Un mélange entre une réunion d’Anonymous et de tête d’ampoules, pour le meilleur et le pire

651e édition des LIDD : Liens Intelligents Du Dimanche

Internet 30
Bannière de Flock avec des bomes sur un fond rouge

#Flock, le grand remplacement par les intelligences artificielles

Flock 34
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #9 : LeBrief 2.0, ligne édito, dossiers de fond

Next 63
Pilule rouge et bleue avec des messages codés

Encapsulation de clés et chiffrement d’enveloppes

Sécurité 31
Empreinte digital sur une capteur

Empreintes digitales : les capteurs Windows Hello loin d’être exemplaires

Sécurité 20

#LeBrief : succès du test d’Ariane 6, réparer plutôt que remplacer, Broadcom finalise le rachat de VMware

0

Hébergeurs, éditeurs, espaces de conversation ? La difficile régulation des réseaux sociaux

Réseaux sociauxSociété numérique 23
Puces en silicium

Silicium : un matériau indispensable et omniprésent, mais critique

HardwareSciences et espace 25
Panneau solaire bi-face Sunology Play

Panneaux solaires en autoconsommation : on décortique le kit Play de Sunology

Hardware 26
The eyes and ears of the army, Fort Dix, N.J.

Un think tank propose d’autoriser les opérations de « hack back »

Sécurité 12

#LeBrief : Ariane 6 sur le banc de test, arrestation algorithmique, entraînement d’IA par des mineurs

0
Illustration Back to the future Job

OpenAI : récit d’une semaine de folie

IA et algorithmesSociété numérique 41
Drapeaux de l’Union européenne

AI Act : la France, l’Allemagne et l’Italie ne veulent pas réguler les modèles « de fondation »

DroitIA et algorithmes 4
Disques durs Western Digital Ultrastar DC HC680 de 26 à 28 To

Western Digital : scission en 2024, des HDD 24 To CMR et 28 To SMR dès maintenant

Hardware 14

#LeBrief : Firefox 120, SoC Dimensity 8300, amendes des géants du Net

0
Smartphone OnePlus 12

Le OnePlus 12 sera présenté le 5 décembre

Hardware 32

Logo de Google sur un ordinateur portable

Des fichiers disparaissent mystérieusement de certains comptes Google Drive

Logiciel 17

Devanture du magasin de la Samaritaine

À la Samaritaine, des caméras camouflées en détecteurs de fumée

Droit 11

Rachat d’iRobot : la Commission détaille ses craintes à Amazon

Droit 10

Logo de FreeBSD sur fond rouge

FreeBSD 14 disponible en version finale

Logiciel 2

Commentaires (29)


Commentaire_supprime
Il y a 9 ans

Pas mal l’idée du MDP à usage unique envoyé par SMS.

J’ai vu chez Outlook qu’il y avait l’équivalent mais je n’ai pas compris comment ça fonctionnait. Je vais voir quand même, à suivre.


jb18v
Il y a 9 ans

Alors eux depuis 10j ils me les brisent, à chaque ouverture d’un navigateur, un onglet Yahoo Mail m’invitant à saisir mon mdp. Alors qu’il y’a bien un cookie et si je vais moi même vers la boite je suis bien identifié. Mais en pratique c’est lourd, parce que la page de saisie du mdp est souvent avec une énorme pub vidéo qui prend 90% de la surface <img data-src=" />

sinon je suis content du webmail <img data-src=" />


Crazy Abonné
Il y a 9 ans






jb18v a écrit :

Alors eux depuis 10j ils me les brisent, à chaque ouverture d’un navigateur, un onglet Yahoo Mail m’invitant à saisir mon mdp. Alors qu’il y’a bien un cookie et si je vais moi même vers la boite je suis bien identifié. Mais en pratique c’est lourd, parce que la page de saisie du mdp est souvent avec une énorme pub vidéo qui prend 90% de la surface <img data-src=" />


Pareil, mais depuis bien plus longtemps. Y’a des moments où le mdp est mémorisé et d’autres où il faut le taper à chaque fois… <img data-src=" />

L’idée du mdp à usage unique n’est pas mauvaise en soi, mais ça présuppose que tout le monde ait un smartphone (ou au moins un téléphone portable). ET ait envie de communiquer son numéro.

(Je sais, faut vivre avec son temps, tout ça… <img data-src=" /> )



Commentaire_supprime
Il y a 9 ans






CrazyCaro a écrit :

Pareil, mais depuis bien plus longtemps. Y’a des moments où le mdp est mémorisé et d’autres où il faut le taper à chaque fois… <img data-src=" />

L’idée du mdp à usage unique n’est pas mauvaise en soi, mais ça présuppose que tout le monde ait un smartphone (ou au moins un téléphone portable). ET ait envie de communiquer son numéro.

(Je sais, faut vivre avec son temps, tout ça… <img data-src=" /> )



Moi, ça me convient, j’ai toujours mon smartphone sur moi et je ne paye pas 20€ d’abo mensuel pour rien.

Je viens de tester le code jetable de Microsoft, ça fonctionne bien et c’est bien pratique, les rares fois au bureau où je dois me connecter sur mon compte-poubelle (doté d’un mot de passe tordu dans les règles de l’art <img data-src=" /> ), ça sera une sécurité de plus.



127.0.0.1
Il y a 9 ans


le seul vol du smartphone permettrait de compromettre le compte


L’avantage c’est qu’on peut configurer le niveau de sécurité de son smartphone en fonction du risque/paranoia (accès libre, code pin, pass-phrase, biométrie, …). Alors qu’on ne peut pas faire cela pour les sites webs.


NonMais
Il y a 9 ans

Moi le problème dans ces trucs là c’est que non seulement ils peuvent lire tes mails pour te profiler mais en plus ils vont pouvoir t’inonder de SMS de promotions diverses et variées. Car, bon, donner son n° de téléphone portable, c’est l’assurance de recevoir un nombre de SMS*10.
C’est toujours la même histoire : c’est pour votre sécurité, pour votre bien… et puis les effets de bords ou bien pensés cyniquement depuis le début… (au choix du niveau de paranoïa de chacun). C’est la même chose pour les lois. Plus d’intrusion pour plus de sécurité.


DuncanV
Il y a 9 ans

Moi aussi, tout pareil&nbsp;<img data-src=" />
Du coup je fais transférer tous mes mails sur ma boite Gmail et lorsque je réponds à un mail venant de Yahoo, Gmail me laisse le choix de l’adresse électronique avec laquelle répondre&nbsp;<img data-src=" />.


War Machine Abonné
Il y a 9 ans

Retenir un long mot de passe (&gt; 10 caractères) robuste n’est pas compliqué si on ne retient que la “recette”, et qu’on y inclue un ingrédient qui dépend du site où l’on se connecte…


127.0.0.1
Il y a 9 ans

Quelle que soit la longueur/robustesse du mot de passe, une fois qu’un pirate le connait (vol, interception, …) il peut le réutiliser sans le consentement du propriétaire.

D’où cette news sur le mdp à usage unique. <img data-src=" />


jb18v
Il y a 9 ans

Ah je suis pas le seul, ça me rassure <img data-src=" />






DuncanV a écrit :

Moi aussi, tout pareil <img data-src=" />
Du coup je fais transférer tous mes mails sur ma boite Gmail et lorsque je réponds à un mail venant de Yahoo, Gmail me laisse le choix de l’adresse électronique avec laquelle répondre <img data-src=" />.



j’en suis pas là, et ça me lefait pas au boulot par exemple (j’ai pas d’extension Yahoo Mail notifier aussi ici, ça joue peut être ? ou alors le fait qu’on soit bloqué en ESR 24 <img data-src=" />)



tazvld Abonné
Il y a 9 ans






Commentaire_supprime a écrit :

Pas mal l’idée du MDP à usage unique envoyé par SMS.

J’ai vu chez Outlook qu’il y avait l’équivalent mais je n’ai pas compris comment ça fonctionnait. Je vais voir quand même, à suivre.



Je trouve personnellement plus pratique le système de Steam là dessus qui ne change pas le mot de passe, mais demande une validation par SMS pour tout nouvel appareil (ou navigateur) qui se connecte à ton compte. Du coup, c’est certe moins sécurisé car il suffit qu’un appareil identifié soit volé pour avoir accès à ton compte, mais c’est moins contraignant.



AnoNyMeuh
Il y a 9 ans

Il ne faut pas non plus oublier la généralisation des applications de smartphone qui ont accès aux SMS…


War Machine Abonné
Il y a 9 ans

Le seul avantage de cette technique,c ‘est “mot de passe à usage unique”. Pour le reste, les autres arguments - genre, c’est dur de retenir des tones de mot de passe-&nbsp; ce sont juste des arguments gratuits mais pas valides. Un long de passe sûr est différent pour chaque site/outils qu’on utilise, ce n’est vraiment pas bien dur en fait.


alex.d. Abonné
Il y a 9 ans

C’est sûr qu’entre un mot de passe librement choisi par l’utilisateur et transmis en https de bout en bout, et un mot de passe transmis en clair via SMS qui transite par les machines de la NSA, on voit tout de suite quelle est la solution la plus sécurisée pour l’utilisateur.
&nbsp;


Commentaire_supprime
Il y a 9 ans






tazvld a écrit :

Je trouve personnellement plus pratique le système de Steam là dessus qui ne change pas le mot de passe, mais demande une validation par SMS pour tout nouvel appareil (ou navigateur) qui se connecte à ton compte. Du coup, c’est certe moins sécurisé car il suffit qu’un appareil identifié soit volé pour avoir accès à ton compte, mais c’est moins contraignant.



Cette solution m’intéresse pour ma bécane au bureau, et les machines des amis à l’extérieur quand je fais des démos… <img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />

Donc, des bécanes que je ne peux pas appairer parce que je n’ai pas la main dessus en tant que root.

Sinon, comme j’ai une bonne mémoire, je préfère taper mon mot de passe tordu pour tout le reste.



Wosgien Abonné
Il y a 9 ans

Et pendant ce temps, le site collissimo.fr demande un mot de passe avec juste des chiffres et des lettres. Pas de caractère spécial, pas d’accent, pas d’espace, de soulignement. Chiffres et lettres!


127.0.0.1
Il y a 9 ans

Chiffres et lettres! Mais c’est terrible !!!!

Tu veux dire qu’ils ont seulement le même niveau de sécurité qu’un hash SHA2 1024bits.

Damned !


anonyme_d5bf0b9f87fd15affa58563db3b0ac5d
Il y a 9 ans






alexandredenis a écrit :

C’est sûr qu’entre un mot de passe librement choisi par l’utilisateur et transmis en https de bout en bout, et un mot de passe transmis en clair via SMS qui transite par les machines de la NSA, on voit tout de suite quelle est la solution la plus sécurisée pour l’utilisateur.
&nbsp;


<img data-src=" /> C’est un peu comme les opérations bancaires sécurisées par l’envoi d’un SMS en plus de l’accès aux comptes en ligne par mot de passe composé exclusivement de chiffres



jb18v
Il y a 9 ans

oui mais les chiffres changent de place aléatoirement, c’est sécure <img data-src=" />


Gundar
Il y a 9 ans

Je comprend pas bien en quoi ajouter un moyen d’accès supplémentaire au compte, avec toute une chaine d’interceptions possibles, augmente la sécurité <img data-src=" />


anonyme_5308cee4763677866e1421efa4474f79
Il y a 9 ans

YM est devenu mauvais avec un wagon de régressions depuis un mois.




  1. Avant, on pouvait effacer les messages individuels regoupés en discussion (même sujet). Désormais, on ne peut plus, seule la discussion toute entière peut être effacée (super !)

  2. Quand on lance une recherche sur un sujet d’un email pour trouver des vieux emails avec le même sujet, si celui-ci contient une apostrophe ‘ la recherche renvoie “aucune résultat”.

    <img data-src=" />
    <img data-src=" />


127.0.0.1
Il y a 9 ans






alexandredenis a écrit :

C’est sûr qu’entre un mot de passe librement choisi par l’utilisateur et transmis en https de bout en bout, et un mot de passe transmis en clair via SMS qui transite par les machines de la NSA, on voit tout de suite quelle est la solution la plus sécurisée pour l’utilisateur.



Justement, la plus sécurisé pour l’utilisateur n’est pas celle avec un mot de passe libre et un chiffrement complexe. Car le maillon faible n’est pas le chiffrement, mais la liberté accordée à l’utilisateur.

Y a bien plus de chance pour un hacker de trouver le mot de passe de tata jeanine (mémorisable, personnel, qu’elle utilise partout et ne change jamais), plutot que d’attraper au vol sur le réseau 4G le SMS qui contient un code aléatoire à usage unique.



alex.d. Abonné
Il y a 9 ans

Un hacker, oui. Mais la NSA qui a accès à 100% des SMS, et pas 100% des mots de passe de tata jeanine (mais pas 0%, je l’accorde), préfère la méthode SMS.
Comme ça, s’il leur venait l’idée saugrenue de crypter les mails chez Yahoo – ces choses sont dans l’air ces temps-ci – ils auraient quand même accès à tout.
Et vendre ça comme une amélioration de la sécurité, c’est malin.
&nbsp;


fred42 Abonné
Il y a 9 ans

Pas du tout. Ce mot de passe est à usage unique.
La NSA ne peut pas l’intercepter et l’utiliser en temps réel avant le destinataire. Il ne sert plus à rien ensuite.


127.0.0.1
Il y a 9 ans

La NSA a accès aux données de n’importe quel serveur de n’importe quelle entreprise US.


Crazy Abonné
Il y a 9 ans






brice.wernet a écrit :

Et pendant ce temps, le site collissimo.fr demande un mot de passe avec juste des chiffres et des lettres. Pas de caractère spécial, pas d’accent, pas d’espace, de soulignement. Chiffres et lettres!


Chuis d’accord que c’est pas terrible, mais si tu as un mdp assez long, avec maj, min & chiffres, tu peux arriver à un niveau de sécurité correct (pas optimal, mais correct).

Je reconnais cependant que y’a un certain nombre de sites qui te demandent un mdp limité en taille, et souvent aussi en type de caractères. Et là… <img data-src=" />



anonyme_2cd57f53cd6a58af895c155f5bf762e2
Il y a 9 ans

Ca sert à quoi que Philip Zimmermann (un génie), il se décarcasse ??? (PGP - Open GPG)

OpenPGP et GPG4win et Kleopatra associés à Enigmail (chiffrement et vérification OpenPGP de messages, pour Thunderbird et Seamonkey), c’est quand même pas fait pour les chiens…
GPG | OpenPGP Fingerprint : 0x8C564896E2ECADC5066CFFA0EBA92F4DEDB0480D
0xEDB0480D

http://subkeys.pgp.net:11371/
http://a.keyserver.pki.scientia.net/
http://pgp.mit.edu/


Wosgien Abonné
Il y a 9 ans






CrazyCaro a écrit :

Chuis d’accord que c’est pas terrible, mais si tu as un mdp assez long, avec maj, min & chiffres, tu peux arriver à un niveau de sécurité correct (pas optimal, mais correct).

Je reconnais cependant que y’a un certain nombre de sites qui te demandent un mdp limité en taille, et souvent aussi en type de caractères. Et là… <img data-src=" />


8 caractères maxi je crois. Il ne veulent pas qu’on le perde.



Crazy Abonné
Il y a 9 ans






brice.wernet a écrit :

8 caractères maxi je crois. Il ne veulent pas qu’on le perde.


Ouep, ça commence à faire limite <img data-src=" />