Lettre ouverte à Marissa Mayer : HTTPS pour tous les services de communication Yahoo! maintenant !

[Tous les liens sont en anglais, sauf mention contraire] Suite à la très médiatisée nomination de Marisa Mayer comme CEO de Yahoo!, la nouvelle direction a l’opportunité de corriger un problème urgent : Yahoo! Mail est le seul service d’emails majeur sur le web qui continue de s’appuyer sur des connections non sécurisées. En début d'année 2010, Google a activé par défaut, sur son service GMail, l’Hypertext Transfer Protocol Secure (HTTPS) [en français], un protocole de communication largement répandu qui permet de sécuriser les communications à travers un réseau. Microsoft en a fait de même avec son service Hotmail en juillet 2011.

La PDG de Yahoo! Marissa Mayer. Photographie de SDK sous la licence Creative Commons Attribution Non Commercial Share Alike.

Pour accélérer le processus, le 13 novembre 2012, une lettre ouverte écrite par 26 experts en sécurité, avocats et activistes pour les droits de l’homme a été envoyée à Marissa Mayer, l'encourageant à agir aussi rapidement que possible pour garantir la sécurité des utilisateurs et combler cet important retard sur le déploiement du cryptage HTTPS pour tous les services de communication de Yahoo!. La lettre rappelle : “Ces dernières années, Yahoo! a été invité plusieurs fois par des experts en sécurité à adopter HTTPS, mais aucun signe visible ne montre la volonté de le faire”.

 Malheureusement, ce retard met vos utilisateurs en danger. C’est particulièrement dérangeant puisque Yahoo! Mail est largement utilisé dans de nombreux pays aux régimes répressifs.

Il y a eu de nombreux communiqués d’activistes politiques et d’opposants au gouvernement, qui se sont vu montrer des copies d’emails comme preuve durant des interrogatoires, soulignant l’importance de fournir des mesures élémentaires pour sécuriser les services d’email.

Les plateformes de communication en ligne sont indispensables pour la libre circulation de l’information et pour la diffusion d’opinions. Proposer HTTPS par défaut est une étape critique que Yahoo! doit franchir pour atténuer les conséquences de la surveillance et de la censure.

En 2009, une lettre ouverte destinée à Google, écrite par 37 éminents experts en sécurité informatique et en vie privée, insiste sur la nécessité d’utiliser HTTPS  pour les services qui traitent des données personnelles. Ils soulignent que HTTPS est un standard en sécurité pour protéger les données personnelles sur les services en ligne. Ces experts ont mentionné des sondages qui ont montrés que “la plupart des utilisateurs n’ont aucune idée des risques d’interception des données auquel ils peuvent être confrontés en utilisant des réseaux wifi publics, […] peu d’utilisateurs remarquent l’activation ou non du cryptage HTTPS et ne prennent pas de précautions élémentaires lorsque HTTPS n’est pas utilisé.”

Tous les éditeurs de services d’email et de réseaux sociaux mentionnés dans cette lettre ont depuis mis à disposition ou activé par défaut HTTPS sur leur sites, à l’exception de Yahoo!.

CyberArabs a posté une traduction de cette lettre en arabe, suivi par Free Press unlimited avec une version néerlandaise et Ana qui l’a publié en allemand.

Plusieurs experts en sécurité et des organisations pour les droits de l’homme ont recommandé aux utilisateurs d’éviter d’utiliser Yahoo! Mail “à cause de son manque de protection pour assurer une sécurité élémentaire”. Ce conseil s’applique en réalité à tous les fournisseurs de services email qui ne peuvent pas être utilisés avec HTTPS, comme le Tactical Technology Collective le mentionne dans cette vidéo.

A moins que Yahoo! Mail corrige ce sérieux problème, les données des utilisateurs sont envoyées à travers HTTP [en français], un protocole non-sécurisé qui est sujet à des attaques de type man-in-the-middle [en français] ou d’écoute clandestine [en français]. Tel que mentionné ci-dessus, les autres grands fournisseurs de services en ligne utilisent le cryptage HTTPS par défaut. Facebook a commencé le déploiement de HTTPS par défaut en novembre 2012. Espérons que ce choeur de voix du monde entier encourage Yahoo! à corriger le problème rapidement. Nous comptons les jours.

Commentez

Merci de... S'identifier »

Règles de modération des commentaires

  • Tous les commentaires sont modérés. N'envoyez pas plus d'une fois votre commentaire. Il pourrait être pris pour un spam par notre anti-virus.
  • Traitez les autres avec respect. Les commentaires contenant des incitations à la haine, des obscénités et des attaques nominatives contre des personnes ne seront pas approuvés.