Yahoo RSSI: chiffrement de bout en bout du courrier d'ici 2015

Aujourd'hui, au Black Hat USA 2014, le RSSI de Yahoo a annoncé dans une présentation que les consommateurs verront le cryptage de bout en bout dans son produit Mail d'ici 2015.

Annonce d'un nouveau plugin PGP qui s'appuie sur le plugin PGP de Google, Alex Stamos a déclaré au public lors de son discours Construire des systèmes sûrs à grande échelle - Leçons de six mois chez Yahoo que ce projet est une priorité depuis qu'il a rejoint Yahoo Inc. il y a six mois.

Le (maintenant ancien) technologue du personnel de l'EFF a été recruté pour le projet. Yan Zhu.

Lors de la conférence de jeudi, Stamos a déclaré aux participants que Yahoo utilisait le plugin de chiffrement de bout en bout que Google a publié il y a quelques jours. il y a quelques mois, avec le projet de permettre à Yahoo Mail et à Gmail d'échanger du courrier crypté entre les services de manière transparente et facilement.

Cette décision constitue un pas dans la bonne direction pour les équipes de sécurité qui s’efforcent d’apporter le cryptage aux consommateurs, confrontés à des défis liés à la facilité d’utilisation pour l’utilisateur ordinaire.

Le chiffrement a suivi le dilemme traditionnel de la sécurité: facile ou sécurisé. Fondamentalement, si quelque chose [en technologie] est facile à utiliser, beaucoup de gens l’utiliseront – mais sécurité et simplicité vont rarement de pair.

Stamos a directement fait référence à « l'ère post-Snowden » en matière de confidentialité et de sécurité des consommateurs comme étant l'impulsion pour sa campagne sur Yahoo auprès de son public Black Hat.

Il a dit,

Après Snowden, nous sommes confrontés à une sorte de nihilisme qui nous empêche de nous concentrer sur ce qui est réel.

En tant qu’industrie, nous avons échoué. Nous n’avons pas réussi à assurer la sécurité des utilisateurs.

Si nous ne parvenons pas à créer des systèmes que nos utilisateurs du vingt-cinquième centile peuvent utiliser, nous échouons. Et nous échouons. Nous ne construisons pas de systèmes que les gens normaux peuvent utiliser.

Le discours de Stamos était le briefing le plus apprécié et le plus discuté au Black Hat USA Las Vegas 2014.

Notre profession n’a jamais eu autant (potentiellement) d’impact qu’aujourd’hui. @alexstamos#BHUSA

– Chris Eng (@chriseng) 7 août 2014

.@alexstamos vient d'annoncer son intention de prendre en charge le cryptage PGP de bout en bout dans la messagerie Yahoo chez Black Hat pic.twitter.com/9oCpGkzvX3

— Yan! (@bcrypt) 7 août 2014

Alex veut un programme de bug bounty avec vérification automatique à l'aide de scripts Se. Yahoo est en train de le construire. "N'essayez pas de breveter ça." @alexstamos#BHUSA

– Chris Eng (@chriseng) 7 août 2014

En train de regarder @alexstamos le tuer à #chapeaunoir2014. Excellente analyse du secteur de la sécurité et des différences de la vie à grande échelle.

– Bob Seigneur (@boblord) 7 août 2014

M. Stamos a tweeté des informations sur cette annonce.

@tankredhase Nous avons un fork du plugin de Google. L'application mobile l'aura nativement. @DrewHintz@bcrypt

-Alex Stamos (@alexstamos) 7 août 2014

Le passage au courrier crypté place Yahoo Mail à l'avant-garde de la confidentialité des utilisateurs dans les services de messagerie parmi géants du Web, rejoignant Google et Microsoft dans la course à la protection des clients dans l'ère post-Snowden de sécurité.

Crédit photo: Chapeau noir USA/UBM Tech, utilisé avec autorisation.

Voir également:

• CNET: Le guide de la sécurité des mots de passe (et pourquoi vous devriez vous en soucier)
• Meilleur de l'exposition: Black Hat USA 2014
• Le nouvel outil Sysmon de Sysinternals recherche les traces d'intrus