yahoo

Yahoo dévoile la nouvelle version de son service de messagerie, Mail. Une nouvelle plateforme qui se veut plus sécurisée et qui offre désormais la possibilité de ne plus utiliser de mots de passe, Account Key.

 

Après l’annonce de la volonté de Yahoo de chiffrer « de bout en bout » sa plateforme de messagerie à l’aide d’OpenPGP (Pretty Good Privacy, logiciel de chiffrement et déchiffrement cryptographique) en collaboration avec Google afin d’assurer l’inter compatibilité, Yahoo a intégré un nouveau système d’authentification plus sécurisé : l’identification avec mot de passe à usage unique ou système OTP (One time Password).

 

Ce mode d’authentification à double facteur ne se contente plus simplement de votre mot de passe utilisateur mais nécessite également qu’on lui fournisse un code à 4 chiffres envoyé sur votre téléphone (pour chaque demande de connexion).

 

Seuls 3 à 4 % des 225 millions d’utilisateurs mensuels de Yahoo ont utilisés cette fonctionnalité, c’est donc une expérience non concluante qui semble en ressortir.

 

Yahoo réitère donc avec la nouvelle fonctionnalité « Account Key », une alternative « de loin supérieure » selon Yahoo.

 

Une fois l’utilisateur connecté grâce à son mot de passe, il peut activer Account Key et renseigner son numéro de téléphone sur lequel il recevra ses demandes d’authentification via des notifications push. Une interface « sécurisée et facile à utiliser », une fois Account Key activée, même en cas de piratage des données de compte, aucun pirate ne pourra s’y connecter.

 

yahoo-account-key

 

Il s’agit bien là de la fonctionnalité d’OTP avec une surcouche client lourd mobile dédiée à l’ergonomie.

 

https://www.youtube.com/watch?v=w1wXqBJQ2f0

 

La fonctionnalité est disponible à l’échelle mondiale sur toutes les nouvelles applications Yahoo Mail, Android ou iOS, la majorité des personnes consultant leur messagerie depuis leur mobile, Yahoo a bon espoir que cette option soit majoritairement adoptée.

 

Il semble que mêmes les majors tendent à démocratiser l’authentification forte via « notification push », comme le fait  notre partenaire éditeur Ping Identity avec sa solution PingID ou encore inWebo, en effet il semble que les OTP « ergonomisés » derrière un « push » se standardisent et ne tarderont pas à envahir le marché si des multinationales comme Yahoo avec ses 225 millions de membres se mettent à l’utiliser, il s’agit peut être des prémisses de la disparition de la notion de mot de passe.

 

Sources & ressources :

Georges

Consultant Sécurité