Yahoo élargit le protocole HTTPS aux accès vers les contacts et les profils
Développeurs, vous n'avez que quelques semaines pour réagir
Dans un monde post-Snowden, les entreprises américaines mettent progressivement l’accent sur la sécurité. Après plusieurs annonces récentes dans ce domaine, Yahoo vient d’annoncer que les accès sécurisés allaient être étendus à d’autres services. Avec des conséquences à la clé pour les développeurs.
Yahoo Mail via une connexion sécurisée
Un élargissement des connexions sécurisées
Depuis le mois dernier, l’accès à Yahoo Mail se fait via une connexion sécurisée. L’adresse commence ainsi par « https » pour tout le monde, quand bien même le certificat de sécurité n’est que temporaire, comme on a pu le voir. Il s’agit pour Yahoo d’une arrivée plus que tardive car les services concurrents que sont Gmail et Outlook.com disposent depuis longtemps d’une telle capacité. Il s’agit pour autant d’un premier pas, qui ne demandait qu’à être étendu.
C’est désormais chose faite puisque la firme américaine vient d’annoncer que la connexion chiffrée concernait également les contacts et les profiles. Des informations qui sont disponibles auprès des développeurs tiers via des API. Ces dernières permettent la création de logiciels, applications et services qui peuvent alors s’interfacer avec les données de Yahoo. On peut imaginer par exemple un client email capable de synchroniser les contacts pour les exploiter ensuite.
Une modification à effectuer avant le 27 février
Or, le changement annoncé aura des retombées à très court terme pour ces développeurs car les appels doivent être modifiés pour inclure le protocole HTTPS. Le domaine de contact ne change pas et reste donc « social.yahooapis.com », mais la modification devra être faite d’ici au 27 février, veille de l’entrée en vigueur des connexions sécurisées obligatoires. Le 28 février donc, Yahoo n’acceptera plus que les connexions chiffrées, les autres étant alors refusées.
Cela va-t-il changer quoi que ce soit pour les utilisateurs ? Dans la pratique, non. Ceux qui se connectent à leur compte Yahoo dans un navigateur ne verront aucune différence, si ce n’est que l’accès aux données restera dans un mode sécurisé. Pour les services et applications tierces, là non plus aucune différence pour l’utilisateur, si toutefois la mise à jour intervient dans les temps. Dans le cas contraire, la connexion ne se fera tout simplement plus et l’utilisateur se retrouvera probablement face à une erreur.
Pourquoi si tard ?
Pour autant, ce changement de politique, même s’il semble appliqué de manière urgente, implique au final une plus grande sécurité. Qu’il s’agisse de Yahoo, de Google ou de Microsoft, tous les grands fournisseurs de services web sécurisent désormais leurs connexions passent même progressivement au chiffrement intégral. Il s’agit de l’une des nombreuses conséquences des révélations d’Edward Snowden. Ces entreprises, qui se sont dites choquées par des informations pointant vers des intrusions de la NSA dans leurs communications, mettent donc en branle de vastes plans d’amélioration de la sécurité.
Nous signalerons quand même qu’en dépit d’une étape importante, Yahoo a attendu le début de l’année 2014 pour rendre le protocole HTTPS obligatoire sur un service aussi fréquenté que son webmail.
Commentaires (10)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 06/02/2014 à 08h10
Un élargissement des connexions sécurisées
C’est bien mignon de faire de la connexion, ça rassure l’utilisateur lambda. Mais on sait pertinemment que la NSA et consort récupère les données qu’ils souhaite avant que ça passe par le serveur web.
Le 06/02/2014 à 08h51
Le 06/02/2014 à 10h12
Depuis le mois dernier, l’accès à Yahoo Mail se fait via une connexion sécurisée. L’adresse commence ainsi par « https » pour tout le monde, quand bien même le certificat de sécurité n’est que temporaire, comme on a pu le voir.
Le passage au HTTPS ne date pas d’un mois, je l’avais déjà l’année dernière.
Et le serveur de login est en https depuis mars 2012.
Le 06/02/2014 à 10h20
Le 06/02/2014 à 10h22
puisque le certif expire le 14⁄2, c’est pour en “offrir” un autre pour la St Valentin ?
" />
Le 06/02/2014 à 11h37
un nouveau protocol HTTPS sécurisé.
" />
La NSA connait bien sûr déjà la clé de décryptage et voit tout en clair
Le 06/02/2014 à 13h33
Nous signalerons quand même qu’en dépit d’une étape importante, Yahoo a attendu le début de l’année 2014 pour rendre le protocole HTTPS obligatoire sur un service aussi fréquenté que son webmail.
Snowden n’aurait rien dit, Yahoo serait probablement resté en HTTP. Signe qu’ils fpont de la sécurité des données qu’on leur confie leur priorité !
Le 06/02/2014 à 14h15
“Ces entreprises, qui se sont dites choquées par des informations pointant vers des intrusions de la NSA dans leurs communications, mettent donc en branle de vastes plans d’amélioration de la sécurité.”
" />
Mais bien sûr ! La NSA aurait opéré sans leur consentement ! Bah voyons !
Le 06/02/2014 à 16h58
C’est marrant les commentaires parce que ça piaille “NSA par ci, NSA par là” mais ça utilise Google Search, Android et peut-être bien pire, Chrome, le tout sous Windows, bien sûr. Bref, que des services/logiciels américains. Cela me fait doucement rigoler.
Le 06/02/2014 à 20h20