Alors que Yahoo avait proclamé la marche vers le chiffrement global des données, voilà que le service Mail dispose désormais d’une connexion par défaut en HTTPS. La firme a également profité du CES pour annoncer la disponibilité de News Digest, basé sur l'application Summy qui avait été rachetée début 2013, et le rachat d'Aviate, une application Android proposant à l'utilisateur ce dont il a besoin selon le moment de la journée.
La connexion à Yahoo Mail se fait en HTTPS par défaut
C’est lors d’une conférence donnée durant le CES de Las Vegas que Marissa Meyer, PDG de Yahoo, a confirmé que la connexion à Yahoo Mail se faisait désormais de manière sécurisée. Une activation qui fait suite à de nombreuses déclarations dans le domaine de la sécurité. Une situation qui a tout à voir avec le nouveau contexte engendré par les activités de la NSA.
Cette annonce de Yahoo est accompagnée de quelques détails techniques. Ainsi, l’accès sécurisé se fera au travers de certificats autorisant un chiffrement en 2048 bits, un élément qui se retrouve souvent dans ce genre de cas (notamment pour Outlook.com chez Microsoft). En outre, la sécurité ne concerne pas que le Webmail : tout accès au compte via un navigateur fixe ou mobile, à travers une application ou les protocoles IMAP, POP et SMTP profitera de cette sécurité supplémentaire. Les calendriers, les contacts et toutes les pièces jointes sont d’ailleurs concernés, de même que Messenger.
Il s’agit dans tous les cas d’une bonne nouvelle. Cependant, comme nous l’indiquions le mois dernier, on ne peut s’empêcher de regretter qu’il ait fallu tant de temps pour que la vague du chiffrement intégral prenne place chez les grands acteurs du web. Car c’est bien en réaction à l’actualité autour de la NSA et de ses programmes de surveillance que les entreprises ont multiplié les annonces dans le domaine. En outre, le certificat utilisé n'est valable que du 3 au 17 janvier, ce qui signifie sans doute que Yahoo l'a activé un peu dans la précipitation avant d'en obtenir un autre plus permanent.
New Digest, l’application basée sur Summly
Souvenez-vous : en mars dernier, Yahoo rendait multimillionnaire un adolescent de 17 ans, Nick D'Aloisio, en rachetant son application Summly. Cette dernière avait la capacité de créer automatiquement des résumés d’articles de presse pour présenter rapidement l’essentiel de l’information aux utilisateurs.
Summly est désormais rebaptisé Yahoo News Digest, une application qui pour l’instant ne concerne qu’iOS et aux États-Unis seulement. Les résumés sont créés deux fois par jour, le matin et la soirée, et contiennent les actualités principales de la journée. Ces actualités sont elles-mêmes constituées « d’Atoms », des particules d’informations telles que des citations, des images, des vidéos, des cartes, des infographies et ainsi de suite.
Les Atoms proviennent selon Yahoo d’un tri double, automatisé et manuel. Les algorithmes responsables de la première phase sont ceux qui ont justement été rachetés à Nick D'Aloisio. Visiblement, les premiers retours semblent très bons, quoique des demandes existent déjà sur le site de Yahoo. Certains demandent ainsi que l’application soit publiée ailleurs que dans les seuls États-Unis, d’autres qu’une version Android soit rapidement mise en ligne. Certains estiment qu’un résumé hebdomadaire serait le bienvenu, d’autres enfin soulignent que l’iPad n’est pas pris en charge.
Nous attendrons évidemment d’une sortie de l’application dans l’hexagone avant de se faire un avis sur la pertinence des informations choisies et comment les articles sont constitués depuis des éléments provenant de sources multiples pour créer des résumés.
Yahoo rachète Aviate pour en faire la base de son expérience Android
Marissa Meyer a également annoncé que Yahoo rachetait Aviate, une application disponible sur Google Play mais uniquement sur invitation pour le moment, et en bêta. Elle présente la caractéristique d’organiser automatiquement l’écran d’accueil pour présenter à l’utilisateur les applications et les informations dont il a besoin.
Cette organisation automatique se fait par observation des habitudes. Par exemple, au réveil, Aviate affichera des éléments tels que la météo et les rendez-vous de la journée. Si vous conduisez, le trafic vous sera gracieusement offert ou bien le trajet pour rentrer à la maison.
La fiche de l’application annonce depuis hier qu’Aviate fait désormais partie de Yahoo mais que la technologie ne changera pas. Et pour cause : l’acheteur indique clairement qu’Aviate sera au centre de sa stratégie Android. Pour l’instant, l’application peut être téléchargée pour les 25 000 premiers qui se lancent dans l’aventure, en utilisant le code « YAHOO ».
Notez que le chiffre de la transaction n'a pas été communiqué.
Commentaires (26)
Une sécurisation, notamment HTTPS prend elle énormément de ressources ou de temps pour être mise en place ? Il est certain que se sentir obligé de sécuriser après l’affaire PRISM, c’est du n’importe quoi, mais je me demande jusqu’où ça l’est
" /> !
Une certification HTTPS voila ce que c’est :
Je créé une requête de certification (un fichier texte)
Je l’envoie à une autorité de certification pour la faire signer
Je la récupère signée
Je la met sur la machine
Je configure le serveur en lui indiquant la correspondance ip/certificat
10mn pour faire tout ca, le plus long étant la signature par l’autorité :p
J’ai regardé le certificat de *.mail.yahoo.com qui est présenté sur ma connexion,
sa validité est du 03/01/2014 au 17/01/2014 !!!
C’est donc un truc provisoire fait à l’arrache pour faire cette annonce à l’occasion du CES. À mon avis, ils devaient être à la bourre !
Il y a aussi 50 noms alternatifs dans ce certificat pour couvrir un paquet d’autres serveurs puisqu’il y a des wildcard (*) sur la plupart de ces noms.
Merci Snowden…
Mouais… Sur ssllabs.com, le truc est pas super secure…
->https://www.ssllabs.com/ssltest/analyze.html?d=login.yahoo.com&s=98.139.237….
ça sent le truc fait à la va-vite. (ou une appliance de m*rde)
J’aime bien Aviate. Je le trouve bien vu.
Une situation qui a tout à voir avec le nouveau contexte engendré par les activités de la NSA.
Si c’est en réaction aux activités de la NSA c’est pas suffisant :
Le chiffrement est du TLS_RSA_WITH_CAMELLIA_256_CBC_SHA c’est à dire que les clés de chiffrement symétrique (256bits) qui sont générées pour chaque session sont échangées dans le flux de ces sessions, en les chiffrant toutes avec l’unique clé publique RSA de mail.yahoo.com.
Si un péquin trouve la clé privée correspondante, il accède à tout, d’un seul coup.
Il aurait été préférable d’utiliser l’échange de clé ECDHE ou DHE qui sont beaucoup plus protecteurs pour les utilisateurs (perfect forward secrecy).
Gmail l’a fait, Yahoo et Microsoft ne l’ont pas fait.
Mettre du HTTPS n’est pas compliqué…. Le gérer au quotidien et de façon intelligente, c’est autre chose. Surtout si du MA s’invite à la fête…
c’est bien, mais par contre vis-à vis de la NSA est ce que çà sert vu qu’ils ont accès aux serveurs de tous les webmails US il me semble?
jaguar_fr a écrit :
c’est bien, mais par contre vis-à vis de la NSA est ce que çà sert vu qu’ils ont accès aux serveurs de tous les webmails US il me semble?
La NSA n’a pas accès aux serveurs (sauf dans certains cas précis), car elle a directement accès aux flux de données.
Si elle possède les clés privées des certificats délivrés, ce qui est une certitude, tu peux mettre du RSA 4096-bits, ça ne sert pas à grande chose.