mercredi 17 juin 2009

Un (petit) pas en avant

Google ne devrait pas tarder à généraliser l'utilisation du SSL pour une grande partie de ses services, dont le mail (gmail, qui propose une option permettant d'activer le ssl en permanence, au lieu de n'avoir qu'une authentification chiffrée[1]) et sa "suite bureautique" (ça fait tache d'ouvrir un document dans google docs, et de se faire sniffer la connexion parce qu'on est sur un réseau wifi public [ensuite, si on a des documents vraiment confidentiels, on utilise pas google, mais ça c'est un autre débat])
Ce qui les a poussés à avancer de la sorte, c'est une lettre (ouverte ?) adressée au CEO de Google, rédigée par des stars dans le domaine de la sécurité et de la cryptographie, avec entre autres Bruce Schneier, Steven Bellovin, Jeff Moss, Ron Rivest et plein d'autres.
Dans un premier temps, la feature sera testée sur un certain nombre d'utilisateurs afin d'évaluer la charge CPU (car mine de rien, la crypto, ça pompe des ressources), avant d'être ensuite généralisée pour de bon.
Alors ensuite je ne sais pas comment ils envisagent de faire pour se conformer aux lois de certains pays, vis à vis de la crypto. Je n'ai pas pu trouver d'info à ce sujet.

[1] à la différence de services comme msn/hotmail. et c'est tâche pour ces derniers dans la mesure où si quelqu'un sniffe le trafic, même si il n'arrive pas à obtenir les identifiants parce que chiffrés dans un échange SSL, le reste circulera en clair et il sera plus ou moins facile de lire une partie des mails de l'utilisateur (au moins ceux qu'il ouvre)

Aucun commentaire: