Les dernières révélations sur la NSA conduisent Yahoo à généraliser le chiffrement de la connexion par défaut. La fonctionnalité, disponible en option depuis le début de l'année, sera prochainement imposée aux usagers, à en croire une porte-parole du groupe américain. Mais cela ne devrait pas freiner outre-mesure les activités de l'agence américaine.

Dans les derniers documents mis en ligne par le Washington Post, il apparaît que la NSA récolte aussi les carnets d'adresses et les listes de contacts des internautes lorsque ces éléments circulent sur Internet (lors de la synchronisation avec un autre appareil par exemple). Ces ressources peuvent être très intéressantes pour l'agence, car elles lui permettent de reconstituer le profil social d'un individu.

Les diapositives ont toutefois montré un décalage étonnant entre Yahoo et toutes les autres entreprises concernées. Sur la journée du 10 janvier 2012, 444 743 carnets et listes concernent le portail web. Tout le reste (244 503) concerne les services concurrents, dont Gmail, Hotmail et Facebook. Pourquoi y a-t-il un tel décalage ? Est-ce propre à l'architecture de Yahoo ?

C'est l'hypothèse avancée par le Washington Post. Comme le rappelle le quotidien américain, Yahoo ne fournit pas par défaut la connexion chiffrée. Celle-ci est disponible mais doit être activée manuellement dans les options du webmail en cochant la case "activez SSL". Du coup, la NSA aspirerait plus facilement les données liées à Yahoo, car non protégées par défaut, que celles de la concurrence.

Il faut rappeler que cette fonctionnalité a été déployée très récemment. Elle est en place depuis janvier 2013, quelques mois à peine avant l'affaire Snowden. À titre de comparaison, Google (Gmail) et Microsoft (Hotmail / Outlook) ont activé cette option trois ans auparavant. Si des données sont quand même récupérées, les volumes concernées sont moins élevés.

Interrogée par le Washington Post, une porte-parole de Yahoo a indiqué que va procéder au chiffrement de toutes ses connexions d'e-mail, ce qui laisse à penser que la connexion chiffrée sera prochainement la règle pour l'ensemble des comptes.

Cependant, la généralisation de cette fonctionnalité ne devrait pas bouleverser en profondeur le travail de la NSA, qui dispose par ailleurs de différents moyens pour accéder aux données qui l'intéressent. Même à supposer que l'agence ne puisse plus attraper "à la volée" les carnets d'adresses et les listes de contacts, elle utilisera d'autres accès ou demandera directement aux sociétés concernées.


Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !