Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Yahoo active HTTPS par défaut sur Mail, lance News Digest et rachète Aviate

Un nombre croissant d'applications mobiles

Yahoo active HTTPS par défaut sur Mail, lance News Digest et rachète Aviate

Le 08 janvier 2014 à 09h30

Alors que Yahoo avait proclamé la marche vers le chiffrement global des données, voilà que le service Mail dispose désormais d’une connexion par défaut en HTTPS. La firme a également profité du CES pour annoncer la disponibilité de News Digest, basé sur l'application Summy qui avait été rachetée début 2013, et le rachat d'Aviate, une application Android proposant à l'utilisateur ce dont il a besoin selon le moment de la journée.

yahoo mail

La connexion à Yahoo Mail se fait en HTTPS par défaut 

C’est lors d’une conférence donnée durant le CES de Las Vegas que Marissa Meyer, PDG de Yahoo, a confirmé que la connexion à Yahoo Mail se faisait désormais de manière sécurisée. Une activation qui fait suite à de nombreuses déclarations dans le domaine de la sécurité. Une situation qui a tout à voir avec le nouveau contexte engendré par les activités de la NSA.

 

Cette annonce de Yahoo est accompagnée de quelques détails techniques. Ainsi, l’accès sécurisé se fera au travers de certificats autorisant un chiffrement en 2048 bits, un élément qui se retrouve souvent dans ce genre de cas (notamment pour Outlook.com chez Microsoft). En outre, la sécurité ne concerne pas que le Webmail : tout accès au compte via un navigateur fixe ou mobile, à travers une application ou les protocoles IMAP, POP et SMTP profitera de cette sécurité supplémentaire. Les calendriers, les contacts et toutes les pièces jointes sont d’ailleurs concernés, de même que Messenger.

 

Il s’agit dans tous les cas d’une bonne nouvelle. Cependant, comme nous l’indiquions le mois dernier, on ne peut s’empêcher de regretter qu’il ait fallu tant de temps pour que la vague du chiffrement intégral prenne place chez les grands acteurs du web. Car c’est bien en réaction à l’actualité autour de la NSA et de ses programmes de surveillance que les entreprises ont multiplié les annonces dans le domaine. En outre, le certificat utilisé n'est valable que du 3 au 17 janvier, ce qui signifie sans doute que Yahoo l'a activé un peu dans la précipitation avant d'en obtenir un autre plus permanent.

 

yahoo mail

New Digest, l’application basée sur Summly

Souvenez-vous : en mars dernier, Yahoo rendait multimillionnaire un adolescent de 17 ans, Nick D'Aloisio, en rachetant son application Summly. Cette dernière avait la capacité de créer automatiquement des résumés d’articles de presse pour présenter rapidement l’essentiel de l’information aux utilisateurs.

 

Summly est désormais rebaptisé Yahoo News Digest, une application qui pour l’instant ne concerne qu’iOS et aux États-Unis seulement. Les résumés sont créés deux fois par jour, le matin et la soirée, et contiennent les actualités principales de la journée. Ces actualités sont elles-mêmes constituées « d’Atoms », des particules d’informations telles que des citations, des images, des vidéos, des cartes, des infographies et ainsi de suite.

 

yahoo news digestyahoo news digest

 

Les Atoms proviennent selon Yahoo d’un tri double, automatisé et manuel. Les algorithmes responsables de la première phase sont ceux qui ont justement été rachetés à Nick D'Aloisio. Visiblement, les premiers retours semblent très bons, quoique des demandes existent déjà sur le site de Yahoo. Certains demandent ainsi que l’application soit publiée ailleurs que dans les seuls États-Unis, d’autres qu’une version Android soit rapidement mise en ligne. Certains estiment qu’un résumé hebdomadaire serait le bienvenu, d’autres enfin soulignent que l’iPad n’est pas pris en charge.

 

Nous attendrons évidemment d’une sortie de l’application dans l’hexagone avant de se faire un avis sur la pertinence des informations choisies et comment les articles sont constitués depuis des éléments provenant de sources multiples pour créer des résumés.

Yahoo rachète Aviate pour en faire la base de son expérience Android

Marissa Meyer a également annoncé que Yahoo rachetait Aviate, une application disponible sur Google Play mais uniquement sur invitation pour le moment, et en bêta. Elle présente la caractéristique d’organiser automatiquement l’écran d’accueil pour présenter à l’utilisateur les applications et les informations dont il a besoin.

 

 

Cette organisation automatique se fait par observation des habitudes. Par exemple, au réveil, Aviate affichera des éléments tels que la météo et les rendez-vous de la journée. Si vous conduisez, le trafic vous sera gracieusement offert ou bien le trajet pour rentrer à la maison.

 

La fiche de l’application annonce depuis hier qu’Aviate fait désormais partie de Yahoo mais que la technologie ne changera pas. Et pour cause : l’acheteur indique clairement qu’Aviate sera au centre de sa stratégie Android. Pour l’instant, l’application peut être téléchargée pour les 25 000 premiers qui se lancent dans l’aventure, en utilisant le code « YAHOO ».

 

Notez que le chiffre de la transaction n'a pas été communiqué.

Commentaires (26)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Une certification HTTPS voila ce que c’est :

Je créé une requête de certification (un fichier texte)

Je l’envoie à une autorité de certification pour la faire signer

Je la récupère signée

Je la met sur la machine

Je configure le serveur en lui indiquant la correspondance ip/certificat



10mn pour faire tout ca, le plus long étant la signature par l’autorité :p

votre avatar







John Shaft a écrit :



Non. Après 2 heures de lecture, j’étais capable de faire quelque chose de tout à fait correct pour mon serveur Apache. Et je suis un amateur <img data-src=" />


Donc pour un pro à priori, forcer le HTTPS, c’est (pour caricaturer) 10 minutes de paramétrage plus les tests qui s’imposent dans la foulée





Je dirai qu’au contraire c’est bien plus complexe pour les pros, où tu vas avoir des milliers de serveurs à gérer, avec du load balancing, des serveurs d’authentification, des proxy, des firewall etc. j’ose même pas imaginer pour un service comme Yahoo! …


votre avatar







John Shaft a écrit :



Non. Après 2 heures de lecture, j’étais capable de faire quelque chose de tout à fait correct pour mon serveur Apache. Et je suis un amateur <img data-src=" />



Donc pour un pro à priori, forcer le HTTPS, c’est (pour caricaturer) 10 minutes de paramétrage plus les tests qui s’imposent dans la foulée









maverick78 a écrit :



Une certification HTTPS voila ce que c’est :

Je créé une requête de certification (un fichier texte)

Je l’envoie à une autorité de certification pour la faire signer

Je la récupère signée

Je la met sur la machine

Je configure le serveur en lui indiquant la correspondance ip/certificat



10mn pour faire tout ca, le plus long étant la signature par l’autorité :p







On va dire que pour une infrastructure du type yahoo mail, ça doit être un peu plus long et complexe. Je pense qu’ils s’appuient sur des machines dédiées pour gérer la partie TLS.



Mais effectivement, sur un serveur perso, c’est assez simple si on comprend les concepts et qu’on suit un tuto.


votre avatar

J’ai regardé le certificat de *.mail.yahoo.com qui est présenté sur ma connexion,

sa validité est du 03/01/2014 au 17/01/2014 !!!

C’est donc un truc provisoire fait à l’arrache pour faire cette annonce à l’occasion du CES. À mon avis, ils devaient être à la bourre !



Il y a aussi 50 noms alternatifs dans ce certificat pour couvrir un paquet d’autres serveurs puisqu’il y a des wildcard (*) sur la plupart de ces noms.

votre avatar







fred42 a écrit :



On va dire que pour une infrastructure du type yahoo mail, ça doit être un peu plus long et complexe. Je pense qu’ils s’appuient sur des machines dédiées pour gérer la partie TLS.



Mais effectivement, sur un serveur perso, c’est assez simple si on comprend les concepts et qu’on suit un tuto.





Y’a deux stratégies dans ce cas : ou tu déploies le certificat sur toutes les machines de la ferme avec l’ip publique ou tu as une appliance qui se charge de ca et qui fait interface interne/externe (et par conséquent le traffic n’est pas forcément sécurisé en interne, on l’a vu dans certains schéma de la NSA y a pas longtemps). C’est généralement la dernière solution qui est employée dans les grosses organisations.


votre avatar







fred42 a écrit :



J’ai regardé le certificat de *.mail.yahoo.com qui est présenté sur ma connexion,

sa validité est du 03/01/2014 au 17/01/2014 !!!

C’est donc un truc provisoire fait à l’arrache pour faire cette annonce à l’occasion du CES. À mon avis, ils devaient être à la bourre !



Il y a aussi 50 noms alternatifs dans ce certificat pour couvrir un paquet d’autres serveurs puisqu’il y a des wildcard (*) sur la plupart de ces noms.







Merci, je vais mettre à jour l’actualité avec une capture <img data-src=" />


votre avatar

Merci Snowden…

votre avatar

Mouais… Sur ssllabs.com, le truc est pas super secure…



-&gt;https://www.ssllabs.com/ssltest/analyze.html?d=login.yahoo.com&s=98.139.237….



ça sent le truc fait à la va-vite. (ou une appliance de m*rde)

votre avatar

J’aime bien Aviate. Je le trouve bien vu.

votre avatar







Oliewan a écrit :



J’aime bien Aviate. Je le trouve bien vu.







Que ce soit Aviate ou News digest, ce sont de bonnes idées. On sent vraiment que Marissa Mayer est train de faire changer Yahoo en bien.



A suivre…


votre avatar



Une situation qui a tout à voir avec le nouveau contexte engendré par les activités de la NSA.



Si c’est en réaction aux activités de la NSA c’est pas suffisant :

Le chiffrement est du TLS_RSA_WITH_CAMELLIA_256_CBC_SHA c’est à dire que les clés de chiffrement symétrique (256bits) qui sont générées pour chaque session sont échangées dans le flux de ces sessions, en les chiffrant toutes avec l’unique clé publique RSA de mail.yahoo.com.



Si un péquin trouve la clé privée correspondante, il accède à tout, d’un seul coup.



Il aurait été préférable d’utiliser l’échange de clé ECDHE ou DHE qui sont beaucoup plus protecteurs pour les utilisateurs (perfect forward secrecy).

Gmail l’a fait, Yahoo et Microsoft ne l’ont pas fait. <img data-src=" />

votre avatar







fred42 a écrit :



J’ai regardé le certificat de *.mail.yahoo.com qui est présenté sur ma connexion,

sa validité est du 03/01/2014 au 17/01/2014 !!!

C’est donc un truc provisoire fait à l’arrache pour faire cette annonce à l’occasion du CES. À mon avis, ils devaient être à la bourre !



Il y a aussi 50 noms alternatifs dans ce certificat pour couvrir un paquet d’autres serveurs puisqu’il y a des wildcard (*) sur la plupart de ces noms.





Ce n’est pas nouveau, j’ai le https depuis quelques mois, et je ne l’ai jamais demandé. <img data-src=" />


votre avatar







unCaillou a écrit :



Si c’est en réaction aux activités de la NSA c’est pas suffisant :

Le chiffrement est du TLS_RSA_WITH_CAMELLIA_256_CBC_SHA c’est à dire que les clés de chiffrement symétrique (256bits) qui sont générées pour chaque session sont échangées dans le flux de ces sessions, en les chiffrant toutes avec l’unique clé publique RSA de mail.yahoo.com.



Si un péquin trouve la clé privée correspondante, il accède à tout, d’un seul coup.



Il aurait été préférable d’utiliser l’échange de clé ECDHE ou DHE qui sont beaucoup plus protecteurs pour les utilisateurs (perfect forward secrecy).

Gmail l’a fait, Yahoo et Microsoft ne l’ont pas fait. <img data-src=" />







Microsoft est en train de le mettre en place.


votre avatar

Mettre du HTTPS n’est pas compliqué…. Le gérer au quotidien et de façon intelligente, c’est autre chose. Surtout si du MA s’invite à la fête…

votre avatar







Depy1501 a écrit :



Une sécurisation, notamment HTTPS prend elle énormément de ressources ou de temps pour être mise en place ? Il est certain que se sentir obligé de sécuriser après l’affaire PRISM, c’est du n’importe quoi, mais je me demande jusqu’où ça l’est <img data-src=" /> !





Attention, HTTPS != de Sécurisé. <img data-src=" />

Si tu as une porte blindée et que tu scotch ta clée dessus, ou que le serrurier s’est fait une copie en cachette, t’auras l’air fin..



J’ entends trop souvent cette lubie commerciale. Surtout quand les certificats sont délivrés par des organismes qui mange dans la main de plusieurs gouvernements.



L’échange Diffie-Hellman ne permet uniquement que d’attester qu’une machine prêtent bien être celle qu’elle est. Ensuite les algo de chiffrements et clés privées sont gérée au bon vouloir de la personne qui les a créées.

Sans parler d’algos standards volontairement affaiblis, etc.









votre avatar







unCaillou a écrit :



Si c’est en réaction aux activités de la NSA c’est pas suffisant :

Le chiffrement est du TLS_RSA_WITH_CAMELLIA_256_CBC_SHA c’est à dire que les clés de chiffrement symétrique (256bits) qui sont générées pour chaque session sont échangées dans le flux de ces sessions, en les chiffrant toutes avec l’unique clé publique RSA de mail.yahoo.com.



Si un péquin trouve la clé privée correspondante, il accède à tout, d’un seul coup.



Il aurait été préférable d’utiliser l’échange de clé ECDHE ou DHE qui sont beaucoup plus protecteurs pour les utilisateurs (perfect forward secrecy).

Gmail l’a fait, Yahoo et Microsoft ne l’ont pas fait. <img data-src=" />







En même temps Google qui arrive en disant “Nous on passe en 2048 bits parceque c’est mieux.”.

‘importe quel expert en sécurité vous dira que ça ne veut rien dire et que c’est de l’effet d’annonce.

Et puis franchement Google… c’est peut être un des pire exemple concernant la “protection” des données ;)



votre avatar

Une sécurisation, notamment HTTPS prend elle énormément de ressources ou de temps pour être mise en place ? Il est certain que se sentir obligé de sécuriser après l’affaire PRISM, c’est du n’importe quoi, mais je me demande jusqu’où ça l’est <img data-src=" /> !

votre avatar







Depy1501 a écrit :



Une sécurisation, notamment HTTPS prend elle énormément de ressources ou de temps pour être mise en place ?







Non. Après 2 heures de lecture, j’étais capable de faire quelque chose de tout à fait correct pour mon serveur Apache. Et je suis un amateur <img data-src=" />



Donc pour un pro à priori, forcer le HTTPS, c’est (pour caricaturer) 10 minutes de paramétrage plus les tests qui s’imposent dans la foulée


votre avatar







Zimt a écrit :



En même temps Google qui arrive en disant “Nous on passe en 2048 bits parceque c’est mieux.”.

‘importe quel expert en sécurité vous dira que ça ne veut rien dire et que c’est de l’effet d’annonce.

Et puis franchement Google… c’est peut être un des pire exemple concernant la “protection” des données ;)





Je parlais pas de longueur de clé mais du protocole d’échange des clés de chiffrement : Google a implémenté la confidentialité persistante, Yahoo ne l’a pas fait. <img data-src=" />



Donc la soi-disant “réaction NSA” de yahoo est un peu mou du genou comme on dit.


votre avatar







unCaillou a écrit :



Je parlais pas de longueur de clé mais du protocole d’échange des clés de chiffrement : Google a implémenté la confidentialité persistante, Yahoo ne l’a pas fait. <img data-src=" />



Donc la soi-disant “réaction NSA” de yahoo est un peu mou du genou comme on dit.





<img data-src=" />


votre avatar

c’est bien, mais par contre vis-à vis de la NSA est ce que çà sert vu qu’ils ont accès aux serveurs de tous les webmails US il me semble?

votre avatar







unCaillou a écrit :



Je parlais pas de longueur de clé mais du protocole d’échange des clés de chiffrement : Google a implémenté la confidentialité persistante, Yahoo ne l’a pas fait. <img data-src=" />



Donc la soi-disant “réaction NSA” de yahoo est un peu mou du genou comme on dit.





Ils l’ont fait à minima mais le grand public n’y verra aucune différence. Pour lui Google, Yahoo et Microsoft sont passés “en sécurisé crypté 4K Full HD 1000000 bits parce que y’a le petit cadenat en haut à gauche”. Qu’importe que les clés soient fournies à la NSA ou que le protocole d’échange soit faiblard.







jaguar_fr a écrit :



c’est bien, mais par contre vis-à vis de la NSA est ce que çà sert vu qu’ils ont accès aux serveurs de tous les webmails US il me semble?





Cela ne sert à rien d’autre qu’à faire de la communication.


votre avatar



jaguar_fr a écrit :

c’est bien, mais par contre vis-à vis de la NSA est ce que çà sert vu qu’ils ont accès aux serveurs de tous les webmails US il me semble?





La NSA n’a pas accès aux serveurs (sauf dans certains cas précis), car elle a directement accès aux flux de données.

Si elle possède les clés privées des certificats délivrés, ce qui est une certitude, tu peux mettre du RSA 4096-bits, ça ne sert pas à grande chose.


votre avatar







Zimt a écrit :



La NSA n’a pas accès aux serveurs (sauf dans certains cas précis), car elle a directement accès aux flux de données.

Si elle possède les clés privées des certificats délivrés, ce qui est une certitude, tu peux mettre du RSA 4096-bits, ça ne sert pas à grande chose.





Si c’est certain comme tu le dis, merci de citer tes sources.



La seule possibilité pour qu’ils les aient serait de les avoir acquises de façon illégale en piratant les équipements qui les contiennent. Cela est possible, mais pas si évident que cela.

En effet, aucune loi des États-Unis n’autorise la fourniture des clés privées par les acteurs du Web. Leur possession permettrait d’espionner sans accord d’un juge les citoyens Américains ce qui est contraire à leur constitution.

Ceux qui ne sont pas citoyens Américains ne sont pas protégés.


votre avatar







fred42 a écrit :



Si c’est certain comme tu le dis, merci de citer tes sources.



La seule possibilité pour qu’ils les aient serait de les avoir acquises de façon illégale en piratant les équipements qui les contiennent. Cela est possible, mais pas si évident que cela.

En effet, aucune loi des États-Unis n’autorise la fourniture des clés privées par les acteurs du Web. Leur possession permettrait d’espionner sans accord d’un juge les citoyens Américains ce qui est contraire à leur constitution.

Ceux qui ne sont pas citoyens Américains ne sont pas protégés.





Mon POST était une généralité, merci pour ton complément.



Ne t’inquiète pas sur le fait que la NSA possède les clés privées délivrées par les organismes US.

Pour le reste, évidement qu’ils n’ont pas accès à 100% mais probablement dans les 75%. Ce qui n’est déjà pas si mal.


votre avatar







Zimt a écrit :



Mon POST était une généralité, merci pour ton complément.



Ne t’inquiète pas sur le fait que la NSA possède les clés privées délivrées par les organismes US.

Pour le reste, évidement qu’ils n’ont pas accès à 100% mais probablement dans les 75%. Ce qui n’est déjà pas si mal.





Aucune source citée malgré ma demande !



Ton POST n’était pas une généralité mais une affirmation sans preuve ni raisonnement qui tient la route, bref du vent.



De plus les “clés privées délivrées par les organismes US” ne veut rien dire.

J’ai l’impression que tu parles d’un sujet que tu ne maîtrises pas.

Une clé privée d’un certificat n’est pas transmise à l’organisme qui fournit un certificat. Seul son hash est transmis. Les organismes certificateurs ne peuvent donc pas fournir ces clés à la NSA. Pour ce qui est de la fourniture des clés par les grands du Web eux même, relire ce que j’ai écrit dans mon message précédent (constitution et juges).


Yahoo active HTTPS par défaut sur Mail, lance News Digest et rachète Aviate

  • La connexion à Yahoo Mail se fait en HTTPS par défaut 

  • New Digest, l’application basée sur Summly

  • Yahoo rachète Aviate pour en faire la base de son expérience Android

Fermer