Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Face à la NSA, Yahoo promet le chiffrement intégral des données

Curieux calendrier

Face à la NSA, Yahoo promet le chiffrement intégral des données

Le 19 novembre 2013 à 11h15

2014 sera l’année du chiffrement pour Yahoo. Alors que le scandale de la surveillance américaine par la NSA continue de provoquer des échos dans le paysage de la sécurité, la firme a décidé de généraliser la pratique à l’ensemble de ses services pour les communications inter-serveurs.

yahoo mail

Yahoo face au scandale Prism 

Depuis les premiers éléments fournis par le lanceur d’alertes Edward Snowden, Yahoo apparaît régulièrement dans les actualités consacrées à Prism. Selon les documents internes de la NSA (National Security Agency), la firme de Marissa Meyer semble la toute première en termes de volumes de données transmises à l’agence. L’une des explications qui était d’ailleurs avancée il y a plusieurs mois était que Yahoo ne chiffrait pratiquement pas son contenu.

 

Le chiffrement des données permet pour rappel de brouiller les écoutes car l’observateur ne peut pas lire le contenu sans posséder la bonne clé. Or, aucun service de Yahoo n’était effectivement chiffré jusqu’à ce jour, Mail étant le premier à s’y mettre, pour une transition qui devrait être terminée en janvier. Cela signifie que pour la NSA, la lecture des données ne pose aucun problème, contrairement à ce qui peut se faire chez Microsoft, Apple ou encore Google.

Toutes les données seront chiffrées en SSL 2048 bits 

Il n’est donc pas étonnant de voir sur le blog de Marissa Meyer une annonce importante sur le sujet. Voilà tout à coup que la firme décide en effet de passer au « tout chiffré ». La présidente plante d’ailleurs le décor très simplement : « Comme vous le savez, il y a eu plusieurs rapports durant les six derniers mois au sujet de la récupération par la NSA de données utilisateurs sans que les entreprises technologies soient au courant, y compris Yahoo. Je veux réitérer ce que nous avons déjà dit dans le passé : Yahoo n’a jamais donné l’accès de ses centres de données à la NSA ou à toute autre agence gouvernementale. Jamais. »

 

Marissa Meyer en profite pour confirmer une information importante : d’ici le 8 janvier, l’ensemble des données transitant par Yahoo Mail seront chiffrées via une clé SSL 2048 bits et les connexions au service se feront donc obligatoirement en HTTPS. Certains seront d’ailleurs étonnés que de telles connexions se fassent toujours en clair.

Une transition terminée d'ici la fin du premier trimestre 2014

La présidente enchaine sur trois annonces toutes aussi cruciales pour la protection. D’une part, le chiffrement sera étendu à la totalité des données qui circulent entre les serveurs de l’entreprise d’ici la fin du premier trimestre 2014. D’autre part, une nouvelle option sera présentée aux utilisateurs pour leur permettre de chiffrer l’intégralité des données entrantes et sortantes des services de Yahoo. Enfin, la firme américaine travaille avec l’ensemble de ses partenaires pour que les solutions basées sur Yahoo Mail incorporent les mêmes changements.

 

Des changements qui interviennent bien tard pour Yahoo et il est difficile de ne pas y voir une réaction franche à la montée de la polémique autour de la surveillance de la NSA et la crise de confiance chez une partie des utilisateurs. Car l’absence de chiffrement des données ne concerne pas que l’affaire Prism et ses multiples rebondissements : elle fragilise la sécurité des informations personnelles quand elles transitent sur une simple connexion internet. Et Yahoo apparaît d’autant plus isolé qu’elle est la seule dans les grands fournisseurs de services à n’avoir pas protégé ses communications. Signalons toutefois qu’il existe une exception : Microsoft, qui ne chiffre qu’en partie les communications entre ses serveurs.

Une position étrangement effacée 

Nous pointerons de notre côté une communication clairement orientée de la part de l’entreprise. Marissa Meyer ne peut pas en effet aborder l’angle de la surveillance américaine en soulignant seulement que « des rapports » ont permis de montrer que la NSA se procurait des données personnelles sans que les entreprises soient au courant. Il est évident que l'agence était en contact avec les grandes sociétés impliquées dans le cloud et de nombreux documents dérobés par Snowden, et publiés dans le Washington Post, The Guardian ou encore Der Spiegel pointaient dans cette direction. Il s’agissait d’ailleurs des tout premiers échos de Prism. Mais la situation de Yahoo est actuellement particulière.

 

La société va devoir restaurer la confiance de ses utilisateurs, du moins qui suivent l’actualité et se demandent pourquoi leurs informations circulaient en clair sur les réseaux. Elle va devoir également communiquer intelligemment face à la NSA et se démarquer. Sur ce terrain, elle a aussi du retard, puisque Microsoft et Google par exemple se sont associées pour déposer plainte contre le gouvernement. La raison ? Obtenir l’autorisation de publier des rapports beaucoup plus précis sur ce qui est demandé par l’agence de renseignement. Là non plus, Yahoo n’a pas pris de position forte et est restée globalement trop silencieuse.

 

Il n’en reste pas moins que le chiffrement intégral des communications est une mesure dans le sens des utilisateurs, pour des questions globales de sécurité. Comme le cryptologue Bruce Schneier l’indiquait récemment durant une conférence sur les conséquences des méthodes de la NSA, l’élévation du niveau de sécurité des télécommunications profite à tous : si l’agence pratique la surveillance pour des besoins de lutte antiterroriste, d’autres ont des intentions moins « nobles » quand il s’agit de récupérer des informations personnelles.

Commentaires (55)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







unCaillou a écrit :



FAUX !

C’est écrit noir sur blanc dans le paragraphe Une transition terminée d’ici la fin du premier trimestre 2014.





Idem, lis le paragraphe concerné, tu verra que yahoo parle de proposer le chiffrement des DONNÉES.







Ils s’agit bien uniquement des données qui circulent entre leurs serveurs ou entre leurs serveurs et l’utilisateur.

Il ne s’agit en aucune façon des données stockées sur les serveurs.

Il suffit de lire attentivement :





a firme a décidé de généraliser la pratique à l’ensemble de ses services pour les communications inter-serveurs.





D’une part, le chiffrement sera étendu à la totalité des données qui circulent entre les serveurs de l’entreprise d’ici la fin du premier trimestre 2014. D’autre part, une nouvelle option sera présentée aux utilisateurs pour leur permettre de chiffrer l’intégralité des données entrantes et sortantes des services de Yahoo.



J’ai mis en gras les parties importantes.



Edit : trompage de balises !


votre avatar







unCaillou a écrit :



FAUX !

C’est écrit noir sur blanc dans le paragraphe Une transition terminée d’ici la fin du premier trimestre 2014.





Idem, lis le paragraphe concerné, tu verra que yahoo parle de proposer le chiffrement des DONNÉES.





Il est clairement écrit que ça ne concerne que les transferts : de l’entreprise vers le client, entre serveurs de l’entreprise, et entre l’entreprise et ses partenaires. Mais les données stockées ne seront pas chiffrées. Donc seulement les transferts, chiffrement bilatéral avec le client ou unilatéral par l’entreprise seule, et pas open source. Tu t’es planté, tu étais en tort et tu as insulté les autres, point.



Et de toute façon on s’en cogne royalement puisque la NSA aura la clé pour déchiffrer. Ne pas utiliser les services des five eyes est la seule façon d’éviter le regard intrusif de l’état policier US.


votre avatar

Bah pour moi “proposer aux UTILISATEURS de chiffrer L’INTÉGRALITÉ des données entrantes et sortantes des services de yahoo” ça veut bien dire que mes données seront chiffrées, indépendamment du flux SSL par lequel elles passeront.



Et Vincent précise bien que c’est une autre annonce : “la présidente enchaîne sur 3 annonces”.

votre avatar







unCaillou a écrit :



Bah pour moi “proposer aux UTILISATEURS de chiffrer L’INTÉGRALITÉ des données entrantes et sortantes des services de yahoo” ça veut bien dire que mes données seront chiffrées, indépendamment du flux SSL par lequel elles passeront.



Et Vincent précise bien que c’est une autre annonce : “la présidente enchaîne sur 3 annonces”.





+1 !


votre avatar

hé vous battez pas hein <img data-src=" />



et on sourit pour la NSA..

votre avatar







unCaillou a écrit :



Bah pour moi “proposer aux UTILISATEURS de chiffrer L’INTÉGRALITÉ des données entrantes et sortantes des services de yahoo” ça veut bien dire que mes données seront chiffrées, indépendamment du flux SSL par lequel elles passeront.



Et Vincent précise bien que c’est une autre annonce : “la présidente enchaîne sur 3 annonces”.





Lit le post original de la madame :





  • Encrypt all information that moves between our data centers by the end of Q1 2014;

  • Offer users an option to encrypt all data flow to/from Yahoo by the end of Q1 2014;

  • Work closely with our international mail partners to ensure that Yahoo co-branded mail accounts are https-enabled.





    C’est juste les flux de données entrant et sortant, pas les données en interne. Ils parlent aussi de chiffrer les infos entre les data-centers mais pas à l’intérieur de ceux-ci.



    Donc tes données seront chiffrées tant qu’elle seront en transit entre Yahoo! et ton PC ou entre un site de Yahoo! et un autre, mais c’est tout ce que garanti ce message.


votre avatar







unCaillou a écrit :



Bah pour moi “proposer aux UTILISATEURS de chiffrer L’INTÉGRALITÉ des données entrantes et sortantes des services de yahoo” ça veut bien dire que mes données seront chiffrées, indépendamment du flux SSL par lequel elles passeront.



Et Vincent précise bien que c’est une autre annonce : “la présidente enchaîne sur 3 annonces”.









Aces a écrit :



+1 !





Et bien vous avez mal compris.

Lisez la source :



Today we are announcing that we will extend that effort across all Yahoo products. More specifically this means we will: 




 Encrypt all information that moves between our data centers by the end of Q1 2014;   


 Offer users an option to encrypt all data flow to/from Yahoo by the end of Q1 2014;   


 Work closely with our international Mail partners to ensure that Yahoo co-branded Mail accounts are https-enabled.




Elle dit bien qu’il s’ait des data flow = flux de données

Et elle finit en parlant explicitement de https pour leur partenaires.

Et ZDnet a la même lecture



Grillé de moins de 3 mn par Khalev qui est toujours pertinent sur ces sujets !


votre avatar

J’attends de voir si ce n’est pas une posture pour dire que nous on moins on est pas NSA compatible.



Mais sérieusement je n’y crois pas du tout.

votre avatar



Comme vous le savez, il y a eu plusieurs rapports durant les six derniers mois au sujet de la récupération par la NSA de données utilisateurs sans que les entreprises technologies soient au courant, y compris Yahoo. Je veux réitérer ce que nous avons déjà dit dans le passé : Yahoo n’a jamais donné l’accès de ses centres de données à la NSA ou à toute autre agence gouvernementale. Jamais.





“les entreprises technologies soient au courant” ? Ça veut dire quoi ?

votre avatar

Si j’avais le temps, je lirais le Patriot Act pour vérifier si ce genre de décision n’est pas tout simplement condamnable par la justice états-unienne.



Heureusement, j’ai un vrai travail <img data-src=" />

votre avatar







metaphore54 a écrit :



J’attends de voir si ce n’est pas une posture pour dire que nous on moins on est pas NSA compatible.



Mais sérieusement je n’y crois pas du tout.





Il seront toujours Patriot Act compatible. Donc tu as raison de pas y croire, ça va rien changer.


votre avatar







Soltek a écrit :



Ou pas.



Paie le sérieux de l’article: “chiffrement tout crypté”.


votre avatar







fred42 a écrit :



Et bien vous avez mal compris.





<img data-src=" />


votre avatar







Khalev a écrit :



Lit le post original de la madame :





  • Encrypt all information that moves between our data centers by the end of Q1 2014;

  • Offer users an option to encrypt all data flow to/from Yahoo by the end of Q1 2014;

  • Work closely with our international mail partners to ensure that Yahoo co-branded mail accounts are https-enabled.





    C’est juste les flux de données entrant et sortant, pas les données en interne. Ils parlent aussi de chiffrer les infos entre les data-centers mais pas à l’intérieur de ceux-ci.



    Donc tes données seront chiffrées tant qu’elle seront en transit entre Yahoo! et ton PC ou entre un site de Yahoo! et un autre, mais c’est tout ce que garanti ce message.





    OK, je comprends, alors l’article de Vincent est mal rédigé :



    les connexions au service se feront donc obligatoirement en HTTPS







    D’autre part, une nouvelle option sera présentée aux utilisateurs pour leur permettre de chiffrer l’intégralité des données entrantes et sortantes des services de Yahoo.





    On comprend clairement qu’il y a SSL obligatoire pour les utilisateurs se connectant ET qu’il y a une autre option proposée en plus pour chiffrer ses données.

    Si maintenant faut vérifier la véracité des infos PCI, on a pas fini <img data-src=" />


votre avatar







psn00ps a écrit :



Paie le sérieux de l’article: “chiffrement tout crypté”.





Ahem, tu connais pas Reflets soit, mais c’était quand même pas compliqué de déceler l’ironie.


votre avatar







unCaillou a écrit :



OK, je comprends, alors l’article de Vincent est mal rédigé :





On comprend clairement qu’il y a SSL obligatoire pour les utilisateurs se connectant ET qu’il y a une autre option proposée en plus pour chiffrer ses données.

Si maintenant faut vérifier la véracité des infos PCI, on a pas fini <img data-src=" />





SSL ça ne chiffre que pendant la communication : les 2 machines qui discutent voient des données non chiffrée, mais avant d’envoyer les données elles sont chiffrées puis déchiffrées une fois arrivées à destination avant tout autre traitement. Donc Yahoo et ton navigateur voyaient des données en clair. Par contre un tiers qui surveillerait votre connexion ne verrait qu’un amas de données chiffrées.



Après l’option qu’ils proposent c’est juste d’étendre SSL à tous leurs services au contraire de Yahoo!Mail pour lequel ça sera obligatoire.



Je ne saurais pas dire si l’article de Vincent est mal écrit ou non, pour moi ça me semblait clair à la première lecture, mais c’est peut-être que je suis habitué à ce genre de formulation.


votre avatar

Je te trouve bien patient avec un mec qui déboule en traitant les gens d’imbéciles.

votre avatar







lincruste_2_la vengeance a écrit :



Je te trouve bien patient avec un mec qui déboule en traitant les gens d’imbéciles.





C’est les restes de la journée de la gentillesse ça.



Ça changera bientôt, j’ai réunion avec mon boss ce soir. Normalement demain je redeviens aigri.


votre avatar

Tiens, Google migre aussi ses services avec un chiffrement SSL 2048 bits pour plus de sécurité.



Après la course au megapixel voici la course au chiffrement … ^^

votre avatar







Khalev a écrit :



C’est les restes de la journée de la gentillesse ça.



Ça changera bientôt, j’ai réunion avec mon boss ce soir. Normalement demain je redeviens aigri.





<img data-src=" />


votre avatar







Soltek a écrit :



Ahem, tu connais pas Reflets soit, mais c’était quand même pas compliqué de déceler l’ironie.





En effet. <img data-src=" />

<img data-src=" />


votre avatar







Khalev a écrit :



Il seront toujours Patriot Act compatible. Donc tu as raison de pas y croire, ça va rien changer.





Je n’en doute pas étant donné que j’avais lu je ne sais plus où que pour vendre aux états unis il faut être NSA compatible.



votre avatar
votre avatar

Bah, toutes ces annonces, c’est du vent…



Tant que je pourrai pas charger ma propre clé publique sur leur plateforme pour me garantir que seul moi a acces a mes données, ca ne vaudra rien.



Et encore, rien ne les empecherait de dupliquer les flux avant les chiffrer.

votre avatar

Vous n’avez pas compris, être NSA-proof est le dernier argument marketing !



Il n’y a qu’OVH qui se donne le moyen d’avoir un datacenter en Amérique du Nord qui est légalement hors Patriot Act, car c’est en partie un miroir d’un datacenters européens, du moins c’est comme ça qu’ils vendent leur truc … le premier datacenter transtlantique quoi.

votre avatar







KP2 a écrit :



Bah, toutes ces annonces, c’est du vent…



Tant que je pourrai pas charger ma propre clé publique sur leur plateforme pour me garantir que seul moi a acces a mes données, ca ne vaudra rien.



Et encore, rien ne les empecherait de dupliquer les flux avant les chiffrer.







Simple, tu télécharges tout l’internet et tu bosses en local, comme ça t’es tranquille. <img data-src=" /> tousse merde je fume pas :/


votre avatar







XalG a écrit :



Simple, tu télécharges tout l’internet et tu bosses en local, comme ça t’es tranquille. <img data-src=" /> tousse merde je fume pas :/









Deja fait :



The Internet


votre avatar







KP2 a écrit :



Bah, toutes ces annonces, c’est du vent…



Tant que je pourrai pas charger ma propre clé publique sur leur plateforme pour me garantir que seul moi a acces a mes données, ca ne vaudra rien.



Et encore, rien ne les empecherait de dupliquer les flux avant les chiffrer.





Tu est sûr de maîtriser le sujet ?

Une clé publique est (attention : révélation) publique. Elle est donc accessible à tout le monde. À quoi cela servirait-il de la charger sur leur plateforme ?



Ce qui est précieux et qui doit être gardé secret, c’est ta clé privée et celle là, il ne faut pas la mettre sur leur plateforme.

Si tu veux protéger tes données sur leur plateforme, il faut qu’elles soient déjà chiffrées avant d’y arriver et tu pourras les déchiffrer chez toi localement avec ta clé privée.


votre avatar

En 2013, il y a encore des services majeurs, utilisé par des millions de personnes, qui ne sont pas chiffrés ? <img data-src=" />



Le chemin reste long à parcourir… Ca me fait penser à ces sites d’e-commerce français (filiale de la FNAC) qui stocke les mdp en clair, et les renvoie par e-mail quand on les a oublié <img data-src=" /> )

votre avatar







fred42 a écrit :



Tu est sûr de maîtriser le sujet ?

Une clé publique est (attention : révélation) publique. Elle est donc accessible à tout le monde. À quoi cela servirait-il de la charger sur leur plateforme ?



Ce qui est précieux et qui doit être gardé secret, c’est ta clé privée et celle là, il ne faut pas la mettre sur leur plateforme.

Si tu veux protéger tes données sur leur plateforme, il faut qu’elles soient déjà chiffrées avant d’y arriver et tu pourras les déchiffrer chez toi localement avec ta clé privée.







Ben ouais, justement.

J’upload ma clé publique, ils chiffrent les données avec et moi seul, avec ma cle privee confidentielle, pourrai les dechiffrer.



Le systeme clé publique/privee ne s’utilise pas que dans un seul sens.



Pour info, “clé publique”, ca veut pas dire que c’est accessible a tout le monde, ca veut dire que c’est la clé que tu peux donner a d’autres.


votre avatar







KP2 a écrit :



Ben ouais, justement.

J’upload ma clé publique, ils chiffrent les données avec et moi seul, avec ma cle privee confidentielle, pourrai les dechiffrer.



Le systeme clé publique/privee ne s’utilise pas que dans un seul sens.



Pour info, “clé publique”, ca veut pas dire que c’est accessible a tout le monde, ca veut dire que c’est la clé que tu peux donner a d’autres.





J’avais pas compris que tu voulais remplacer le TLS du https, peut-être parce que tu supposes que la clé privées des serveurs pas sûres, dans ce cas, il ne faut pas utiliser du tout le service, si tes données sont en clair sur leurs serveurs…


votre avatar







KP2 a écrit :



Bah, toutes ces annonces, c’est du vent…



Tant que je pourrai pas charger ma propre clé publique sur leur plateforme pour me garantir que seul moi a acces a mes données, ca ne vaudra rien.



Et encore, rien ne les empecherait de dupliquer les flux avant les chiffrer.







Ce que tu dis n’a aucun sens. Si on parle de mail, le chiffrement à clef publique se fait entre toi et le destinataire du mail et pas les serveurs du service que tu utilises !

Et sinon la connexion chiffrée entre toi et les servers de ton prestataire de mail ne dépend que de lui et le TLS fait très bien le boulot dans ce cas là. Si tu veux du chiffrement des données en elles-même sur les servers alors là j’te conseil d’heberger toi-même tes servers mails parce que ça ne risque pas d’arriver avec les géants américains !


votre avatar



Yahoo n’a jamais donné l’accès de ses centres de données à la NSA ou à toute autre agence gouvernementale. Jamais.





Ils n’ont pas eu besoin de le donner, il suffit qu’ils aient installé un programme fourni par la NSA dans leur centre, et hop, l’accès est possible sans que Yahoo n’ait JAMAIS donné l’accès.



Je les adore ces entreprises américaines, à tortiller du cul pour justifier l’injustifiable.





Ricard a écrit :



Heu….non. On parle juste de chiffrer le protocole de transfert, pas les données qui resteront sans aucun doute en clair sur les serveurs, vérolés jusqu’à l’os par la NSA. Inutile.<img data-src=" />







+1, c’est vraiment du vent cette annonce.


votre avatar



D’autre part, une nouvelle option sera présentée aux utilisateurs pour leur permettre de chiffrer l’intégralité des données entrantes et sortantes des services de Yahoo.



Si c’est bien fait, avec chiffrement fort, côté client et open source, pourquoi pas. <img data-src=" />

votre avatar







Ricard a écrit :



Heu….non. On parle juste de chiffrer le protocole de transfert, pas les données qui resteront sans aucun doute en clair sur les serveurs, vérolés jusqu’à l’os par la NSA. Inutile.<img data-src=" />





Il faut peut-être lire l’article avant de commenter, ça évite de passer pour un imbécile. <img data-src=" />


votre avatar

Bon quand on voit que la NSA va jusqu’à demander au fondateur de linux d’introduire une backdoor dans le système (c’est donc qu’il y a un moyen pour que ça ne se voit pas, sinon pourquoi faire cette démarche ?), il y a a parier que le problème de la confidentialité des données ne soit pas spécialement dans le chiffrement des données !

votre avatar







unCaillou a écrit :



Si c’est bien fait, avec chiffrement fort, côté client et open source, pourquoi pas. <img data-src=" />







Si tu veux que ce soit bien fait, côté client et open source, c’est en tout cas pas Yahoo qu’il faut utiliser…



Tu n’as aucune garantie sur le chiffrement de tes données (vu que ce n’est pas toi qui le fait), et ils pourront quand même voir tes meta-données, à savoir “de qui à qui et à quelle heure”.


votre avatar







Soltek a écrit :



Méwé… Ils vont tout chiffrer, et donner la master key à la NSA, voilà voilà, rien ne changera <img data-src=" />





+1







unCaillou a écrit :



Si c’est bien fait, avec chiffrement fort, côté client et open source, pourquoi pas. <img data-src=" />









unCaillou a écrit :



Il faut peut-être lire l’article avant de commenter, ça évite de passer pour un imbécile. <img data-src=" />





Étant donné que l’article ne parle que de SSL (donc seul le transfert est chiffré et chiffrage bilatéral et pas open source), j’ai envie de dire que c’est l’hôpital qui se fout de la charité.



Mais bon, avec un avatar pareil, tu dois être là pour troller.


votre avatar







unCaillou a écrit :



Il faut peut-être lire l’article avant de commenter, ça évite de passer pour un imbécile. <img data-src=" />





Je te retourne le compliment, hein.<img data-src=" />


votre avatar

Yahoo en chevalier blanc prêt à contrer la NSA et entraver la politique sécuritaire du gouvernement US … J’y crois a 100% bien sûr !

votre avatar

Un peu comme la magie, ce qu’on voit ou veux nous faire voir ou croire n’est pas le plus interressant, il s’agit juste de l’emballage pour ne pas voir le vrai “tour” …

votre avatar



Le chiffrement des données permet pour rappel de brouiller les écoutes



C’est vrai qu’il est toujours pénible de se faire brouiller l’écoute.

votre avatar







Kotegaeshi a écrit :



C’est vrai qu’il est toujours pénible de se faire brouiller l’écoute.





ça dépend comment c’est fait <img data-src=" />


votre avatar

c’est sur demande de la NSA/autres pour qu’aucun service non certifier conforme puisse lire les données qui transitent dans les tuyaux <img data-src=" />


votre avatar







HarmattanBlow a écrit :



+1







Étant donné que l’article ne parle que de SSL (donc seul le transfert est chiffré et chiffrage bilatéral et pas open source), j’ai envie de dire que c’est l’hôpital qui se fout de la charité.



Mais bon, avec un avatar pareil, tu dois être là pour troller.





FAUX !

C’est écrit noir sur blanc dans le paragraphe Une transition terminée d’ici la fin du premier trimestre 2014.







Ricard a écrit :



Je te retourne le compliment, hein.<img data-src=" />





Idem, lis le paragraphe concerné, tu verra que yahoo parle de proposer le chiffrement des DONNÉES.


votre avatar







Soltek a écrit :



Méwé… Ils vont tout chiffrer, et donner la master key à la NSA, voilà voilà, rien ne changera <img data-src=" />







Haha, exactement ce que j’allais dire ^^



Ils auraient dit “et on déménage nos bureaux en Russie”, j’aurais eu tendance à leur donner un peu de crédit, mais tant que ce sont des entreprises US…


votre avatar

“Yahoo n’a jamais donné l’accès de ses centres de données à la NSA ou à toute autre agence gouvernementale. Jamais.”

Sauf que Yahoo oublie de dire que la NSA peut demander (et l’a certainement déjà fait) des données à Yahoo sans en expliquer la raison et que dans ce cas, cette société n’a pas d’autre choix que de coopérer sinon c’est la prison pour ses responsables sans autre forme de procès.

Il suffit de regarder le reportage de l’ASI dans lequel participait l’auteur de cet article pour comprendre les enjeux.

Cette société peut crypter les flux de données sur 1Mega de bits si ça lui plait, si la NSA lui demande la clé, elle devra la donner point barre.

La seule solution pour protéger la vie privée des internautes est de changer la loi, ce que tente de faire visiblement Google et Microsoft mais curieusement pas Yahoo.

Quand bien même la loi serait changée, elle ne concernerait que les données des américains, pas celles venant de l’étranger. Pour que nous français nous puissions avoir le même traitement, il faudrait que notre gouvernement agisse en conséquence. Mais là, je pense que l’on peut aller se beurrer…

Donc chez Yahoo ils sont bien gentils, mais tout ceci n’est que de la comm !

votre avatar







unCaillou a écrit :



FAUX !

C’est écrit noir sur blanc dans le paragraphe Une transition terminée d’ici la fin du premier trimestre 2014.





Idem, lis le paragraphe concerné, tu verra que yahoo parle de proposer le chiffrement des DONNÉES.





Nan mais arrêtes là, tu t’enfonces.<img data-src=" />



Marissa Meyer en profite pour confirmer une information importante : d’ici le 8 janvier, l’ensemble des données transitant par Yahoo Mail seront chiffrées via une clé SSL 2048 bits et les connexions au service se feront donc obligatoirement en HTTPS


votre avatar

Méwé… Ils vont tout chiffrer, et donner la master key à la NSA, voilà voilà, rien ne changera <img data-src=" />

votre avatar

S’ils pouvaientt chiffrer les commentaires sur leur page d’accueil et jeter la clef… <img data-src=" />



Plus sérieusement, Yahoo est tout de même une des rares boites à ne pas céder directement aux injonctions de la NSA

votre avatar







Constrilia a écrit :



Plus sérieusement, Yahoo est tout de même une des rares boites à ne pas céder directement aux injonctions de la NSA





Ou pas.


votre avatar



Face à la NSA, Yahoo promet le chiffrement intégral des données



Heu….non. On parle juste de chiffrer le protocole de transfert, pas les données qui resteront sans aucun doute en clair sur les serveurs, vérolés jusqu’à l’os par la NSA. Inutile.<img data-src=" />

votre avatar







Soltek a écrit :



Méwé… Ils vont tout chiffrer, et donner la master key à la NSA, voilà voilà, rien ne changera <img data-src=" />







Hum :o


votre avatar







Soltek a écrit :



Ou pas.







C’est un article très étrange tout de même où on mélange à la fois une plainte concernant le scan des mails pour afficher de la publicité ciblée et une décision de justice ne les concernant pas directement.


votre avatar







fred42 a écrit :



J’avais pas compris que tu voulais remplacer le TLS du https, peut-être parce que tu supposes que la clé privées des serveurs pas sûres, dans ce cas, il ne faut pas utiliser du tout le service, si tes données sont en clair sur leurs serveurs…







Bien sur que non, la “cle privee des serveurs” (je suis pas sur d’avoir compris cette expression) n’est absolument pas sure…



Et je veux pas remplacer le HTTPS, je veux remplacer la cle de chiffrement de mes données stockées chez eux. C’est pas pareil

Toute cette histoire de chiffrer les transferts est bien mais ca ne vaut rien si le stockage n’est pas chiffré.

Donc, pour ma part, je dis que tant que je peux pas utiliser ma propre clé de chiffrement pour le stockage, toutes leurs annonces n’ont aucune valeur…







Glyphe a écrit :



Ce que tu dis n’a aucun sens.







Ah ?







Glyphe a écrit :



Si on parle de mail, le chiffrement à clef publique se fait entre toi et le destinataire du mail et pas les serveurs du service que tu utilises !

Et sinon la connexion chiffrée entre toi et les servers de ton prestataire de mail ne dépend que de lui et le TLS fait très bien le boulot dans ce cas là.







Je ne parle absolument pas de ca…







Glyphe a écrit :



Si tu veux du chiffrement des données en elles-même sur les servers alors là j’te conseil d’heberger toi-même tes servers mails parce que ça ne risque pas d’arriver avec les géants américains !







Oui, la, t’as compris.

Et c’est bien ce que je dis mais je suis moins pessimiste que toi car j’ai le secret espoir que ca arrivera un jour (ou alors ya un marche a prendre)


Face à la NSA, Yahoo promet le chiffrement intégral des données

  • Yahoo face au scandale Prism 

  • Toutes les données seront chiffrées en SSL 2048 bits 

  • Une transition terminée d'ici la fin du premier trimestre 2014

  • Une position étrangement effacée 

Fermer