Google-https-forward-secrecy Google continue de s'activer sur le front du chiffrement des communications via le protocole sécurisé HTTPS. Ce dernier a été déployé par défaut pour Gmail, Google Docs ou encore Agenda. HTTPS est également une option pour la recherche Web de Google qui est appliquée par défaut pour les utilisateurs connectés à leur compte ( actuellement pour la version mondiale - en anglais - du moteur ).

Cette semaine, Google a annoncé aller encore plus loin en se projetant dans un avenir proche, soit une dizaine d'années, quand les ordinateurs seront beaucoup plus rapides : " un attaquant pourrait casser la clé privée du serveur et déchiffrer de manière rétrospective le trafic email d'aujourd'hui ".

Membre de l'équipe sécurité de Google, Adam Langley indique que pour faire échec à de telles hypothétiques futures attaques, la propriété forward secrecy ( ou perfect forward secrecy ) a été activée par défaut pour Gmail et d'autres services HTTPS de Google comme Google Docs, la recherche SSL et Google+.

Il explique qu'avec forward secrecy, les clés privées du serveur pour une connexion HTTPS ne sont pas conservées dans un stockage persistant, d'où un risque en moins de déchiffrement rétrospectif : " un attaquant qui casse une seule clé ne sera pas capable de déchiffrer des mois de connexion ; en fait, même l'administrateur du serveur ne sera pas capable de déchiffrer rétroactivement des sessions HTTPS. "

Sans cette propriété, les sessions HTTPS issues d'une combinaison de clés publiques et privées peuvent potentiellement être compromises si l'une des clés privées stockées sur le long terme est déchiffrée ultérieurement.

Le risque paraît très minime, mais Google a pris les devants et a également publié les modifications nécessaires à bibliothèque logicielle OpenSSL.

La mise en œuvre de la propriété forward secrecy avec les services Google en HTTPS requiert un mécanisme de clé d'échange ECHDHE_RSA et un chiffrement via l'algorithme RC4 à 128 bits. Une prise en charge n'est pour le moment possible qu'avec Google Chrome et Firefox.

Google précise que si Internet Explorer ( sous Windows Vista et plus ) supporte la propriété forward secrecy, ce n'est pas par le biais de la même combinaison  ECHDHE et RC4. Le support avec IE est néanmoins espéré pour plus tard.