Et bien sûr, Yahoo n'a finalement jamais lancé son chiffrement de bout en bout
Mardi, l'agence Reuters a révélé que Yahoo espionnait depuis 2015 les e-mails de ses clients, pour le compte des services de renseignement américains.
Un tel espionnage massif n'est possible que parce que même s'ils sont chiffrés pendant leur transit, les e-mails peuvent être lus par Yahoo qui conserve la clé de déchiffrement de tous les messages qu'il reçoit et qu'il stocke. C'est la même chose avec Gmail, Live, ou vos messageries Orange, Free, SFR, etc. La seule manière de se prémunir de tout accès aux e-mails est d'utiliser une solution de chiffrement de bout en bout comme PGP ou des messageries spécialisées comme Protonmail, qui permettent aux correspondants d'être les seuls à détenir la clé qui permet de lire le contenu d'un message.
Or c'est justement l'annonce qui avait été faite en 2014 par Yahoo. Lors de la conférence Black Hat à Las Vegas en août 2014, l'ancien directeur de la sécurité de Yahoo Alex Stamos avait annoncé l'arrivée d'un module de chiffrement de bout en bout dans Yahoo Mail, basé sur PGP. Il en avait même présenté la première ébauche et affirmé qu'il serait déployé fin 2014 :
Le projet avait été mené en collaboration avec Google dans le cadre d'un module pour Chrome, et en décembre 2014 Techcrunch croyait bon d'annoncer que son lancement était proche et qu'il aurait lieu dans le courant de l'année 2015. Mais les seules traces qu'on en trouve sont un dépôt Github d'une librairie baptisée « end-to-end » basée sur OpenPGP, à laquelle a participé Yahoo.
Le projet est totalement inactif depuis plusieurs mois, et avait déjà subi une forte baisse d'activité après l'été 2015, quand Alex Stamos a finalement démissionné après avoir découvert le logiciel secret installé au cœur de Yahoo Mail.
Pour concevoir cette solution de chiffrement de bout en bout, Yahoo avait recruté l'experte en chiffrement Yan Zhu, qui avait participé à créer HTTPS Everywhere pour l'Electronic Frontier Foundation. Or celle-ci a quitté Yahoo en novembre 2015, quelques mois après Alex Stamos, pour rejoindre l'éditeur du navigateur Brave.
Sur Twitter, Yan Zhu est amère. « Ironie : Au moment-même où ça s'est passé, moi et mes collègues chez Yahoo travaillions sur le chiffrement de bout en bout pour Yahoo Mail. Si nous l'avions livré dans les temps en 2014, nous aurions au moins évité que quelques personnes voient leurs e-mails siphonnés par la NSA / le FBI », écrit-elle.
S'adressant aux actuels employés de Yahoo, elle ajoute cette bombe : « vos supérieurs ont autorisé qu'un backdoor mal écrit soit mis en production sans aucun examen de sa sécurité, et pourtant ils n'ont pas voulu approuver le chiffrement de bout en bout ».
https://twitter.com/bcrypt/status/783381452775751680
https://twitter.com/bcrypt/status/783382425116160001
https://twitter.com/bcrypt/status/783389224359694336
Le refus de faire du chiffrement de bout en bout n'est pas forcément guidé par la volonté d'aider les services de renseignement. Se rendre aveugle au contenu des e-mails, c'est s'interdire de facto d'en réaliser une analyse à des fins marketing. Or Yahoo, comme Google, font observer le contenu des e-mails par des robots, pour trouver les mots clés qui déclenchent l'affichage de publicités ciblées.
C'est peut-être aussi pour cette raison que Google n'a finalement jamais déployé le module end-to-end qu'il laisse à l'abandon sur Github.