Piratage de Yahoo : un utilisateur poursuit l'entreprise pour « négligence »
Le rachat de Yahoo par Verizon pourrait en pâtir

Le , par Stéphane le calme, Chroniqueur Actualités
Après avoir mené son enquête, Yahoo a reconnu avoir été la victime d’un piratage qui date de 2014 et concerne plus de 500 millions de comptes. Dans un communiqué, l’entreprise a évoqué une attaque par une entité sponsorisée par un État : « une enquête récente de Yahoo a confirmé qu'une copie de certaines informations de compte d'utilisateur a été volée dans le réseau de l'entreprise à la fin de 2014, par un acteur que nous croyons être parrainé par un État. Les informations de compte peuvent inclure des noms, des adresses e-mail, numéros de téléphone, dates de naissance, mots de passe hachés (la grande majorité avec bcrypt) et, dans certains cas, les questions et réponses de sécurité chiffrées ou non ».

Yahoo a fait son annonce jeudi 22 septembre. Mais le vendredi 23 septembre, le groupe a été poursuivi pour « négligence grave » par Ronald Schwartz, un résident de New York qui vise le statut de recours collectif qui va représenter tous les utilisateurs américains de Yahoo! affectés par le vol de leurs informations personnelles. Il entend réclamer des dommages et intérêts. Ses avocats ont déposé la plainte à San Jose (Californie), dans le même État que la maison mère de l’entreprise. À ses côtés, Schwartz à deux spécialistes des recours collectifs : les cabinets Robbins Geller Rudman & Dowd et Labaton Sucharow

La plainte suggère que Yahoo aurait pu éviter le piratage s’il avait renforcé ses mesures de sécurité étant donné qu’il avait déjà été la cible de pirates par le passé et n’a donc pas tenu à sa promesse de prendre « très au sérieux » la vie privée de ses utilisateurs : Yahoo a démontré de la « négligence à l'égard de la sécurité des informations personnelles de ses utilisateurs qu'il a promis de protéger ».

Schwartz reproche également à Yahoo d’avoir attendu près de deux mois pour faire un communiqué concernant la faille, ce qui est illégal dans 47 États aux Etats-Unis, qui requièrent que les entreprises qui ont été victimes d’un piratage le fassent savoir à leurs clients même si le délai varie d’un État à l’autre : certains demandent d’en informer les clients sur une période allant de 30 à 45 jours tandis que d’autres utilisent des termes plus généraux « aussitôt que ce sera utile » ou « sans délai déraisonnable ». Dans ces États, la période de notification peut être plus courte comme le montre un cas récent en Californie où l’avocat Aaron Tantleff, travaillant pour le compte de Foley and Lardner, a estimé que même deux semaines représentent un délai trop long.

Alors combien de temps a attendu Yahoo avant d’en informer ses utilisateurs ? Mais surtout pourquoi l’entreprise n’en a pas informé rapidement ses utilisateurs ? Une source proche de l’entreprise, qui a souhaité gardé l’anonymat, a affirmé ceci à propos du délai : « suite à un rapport plus tôt cet été (juillet 2016) d'un hacker qui a indiqué que 280 millions comptes utilisateurs sont en vente sur le marché noir, nous avons lancé une enquête interne et n’avons trouvé aucun éléments de preuve pour étayer les allégations du pirate. Après avoir terminé cette enquête, notre équipe de sécurité interne a continué de procéder à un examen plus large et plus profond de nos systèmes. Chemin faisant, elle a identifié des preuves du vol par un acteur parrainé par l'État qui a eu lieu en 2014 ». Cependant, même si cette affirmation s’avérait vérifiée, elle ne signifie pas nécessairement que Yahoo a respecté la loi.

Actuellement, Yahoo et Verizon ont négocié le rachat de l’ancienne gloire d’internet à hauteur de 4,8 milliards de dollars, rachat qui concerne l’acquisition du cœur de métier sur internet de Yahoo mais aussi plusieurs propriétés immobilières. Selon le spécialiste Dan Primack, cette poursuite pourrait bien affecter ce projet. La plus grosse menace à ce rachat se trouve dans un accord signé par les deux parties le 23 juillet 2016 qui avance que : « à la connaissance du vendeur, il n'y a pas eu d'incidents ou de réclamations de tiers alléguant, (i) atteintes à la sécurité : l'accès non autorisé ou utilisation non autorisée d’un des systèmes de technologie de l’information de l’une des filiales du vendeur ou (ii) la perte, le vol , l'accès non autorisé ou l'acquisition, la modification, la divulgation, la corruption ou toute autre utilisation abusive des données personnelles en possession du vendeur ou de l’une de ses filiales, ou d'autres données confidentielles détenues par le vendeur ou ses filiales (ou fournies au vendeur ou ses filiales par leur clients) en possession du vendeur ou de ses filiales, chaque cas (i) et (ii) pourrait raisonnablement avoir un effet défavorable important sur les affaires ».

Source : Fortune (recours collectif contre Yahoo), Fortune (analyse d'un paragraphe d'un accord signé entre Yahoo et Verizon)

Voir aussi :

Verizon va bientôt racheter Yahoo! pour 4,8 milliards de dollars, l'entreprise va bénéficier du cœur d'activité dans les services en ligne de Yahoo!


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de marsupial marsupial - Membre émérite https://www.developpez.com
le 24/09/2016 à 20:28
Nul n est a l abri d un piratage, mais la plus grave des negligences restera de laisser 2 ans entre le piratage et l information des utilisateurs avec les premieres mesures basiques. Et laisser 3 mois de latence entre l annonce, l investigation qui officiellement ne trouve rien et subitement elle trouve quelque chose lorsque les donnees se retrouvent sur le net. Entre temps, Les pirates ont du bien profiter. Faire porter le chapeau a un hypothetique Etat dont ce n est vraiment pas le domaine de predilection, prouve le niveau de securite.
Je comprends de ce fait la plainte deposee.
Avatar de Aurelien Plazzotta Aurelien Plazzotta - Membre éprouvé https://www.developpez.com
le 25/09/2016 à 17:04
Tout comme Twitter, le rachat de Yahoo ne va nullement en partir. C'est juste une opération de destabilisation afin de casser les prix avant une offre publique d'achat.
Avatar de fenkys fenkys - Membre éprouvé https://www.developpez.com
le 26/09/2016 à 8:22
Bonjour,

Je suis d'accord, la plainte est d'autant plus justifiée que beaucoup de monde utilise le même mot de passe pour plusieurs comptes. En ne disant rien ce sont tous ces autres comptes qui ont été mis en danger. Et peut être qu'un procès avec des dédommagements lourds pourrait à l'avenir inciter les entreprises à faire plus attention.
Avatar de Aizen64 Aizen64 - Membre averti https://www.developpez.com
le 27/09/2016 à 18:05
Je suis également d'accord sur le fait que Yahoo aurait du en informer ses utilisateurs immédiatement, pas 2 ans après.

Cette partie mise à part, pour les mots de passe, j'imagine que Yahoo les a hachés et qu'ils restent donc inexploitables même s'ils sont divulgués.
Avatar de Michael Guilloux Michael Guilloux - Chroniqueur Actualités https://www.developpez.com
le 29/09/2016 à 18:12
Yahoo : la sécurité ne semble pas être une priorité pour la PDG Marissa Mayer
indiquent des employés de l’entreprise

Yahoo a récemment annoncé avoir été victime du piratage de plus d’un demi-milliard de comptes en 2014. Il s’agit de la plus grande intrusion rendue publique qu’a jamais connue une entreprise de services sur internet. Après l’annonce de cette grosse violation de sécurité, un utilisateur a porté plainte contre Yahoo pour négligence. Mais s’agit-il vraiment d’une négligence de la part de Yahoo ? En tout cas, c’est ce que suggère une demi-douzaine d’anciens employés, mais également des employés actuellement en service chez Yahoo, dans un rapport de Reuters.

Le rapport met en évidence le laxisme de Marissa Mayer vis-à-vis de la sécurité. Il semble en effet que la sécurité était bien loin d’être une priorité pour celle qui est pourtant la PDG d’une entreprise qui détient une énorme base de données personnelles sur au moins un milliard d’utilisateurs, en plus, dans un contexte animé par les débats sur la vie privée et la sécurité.

« Les paranoïaques », c’est ainsi que sont appelés, au sein de l’entreprise, les membres de l’équipe de sécurité de Yahoo, dont les exigences et initiatives n’ont pas été considérées par Marissa Mayer et son équipe de direction. D’après Reuters, les paranoïaques étaient « souvent en conflit avec d'autres entités de l'entreprise par rapport aux coûts de la sécurité. Et leurs demandes étaient souvent rejetées en raison des préoccupations selon lesquelles une protection supplémentaire pourrait amener les gens à cesser d'utiliser les produits de la société. »

Si à son arrivée à la tête de Yahoo, Marissa Mayer a hérité de nombreux problèmes de sécurité, elle a préféré mettre l’accent sur le développement de nouveaux produits plutôt que d’investir dans la sécurité, d’après des employés de la société qui ont décidé de témoigner dans l’anonymat. Marissa a pris la direction de Yahoo deux ans après une vaste attaque lancée par des pirates militaires chinois. Des entreprises comme Google ont également été victimes, mais le géant de Mountain View a répliqué en recrutant des centaines d’ingénieurs en sécurité et en investissant des centaines de millions dans la sécurité qui est devenue une priorité absolue pour la société. Yahoo, de son côté, n’a jamais admis publiquement avoir été piraté, encore moins pris des mesures, à l’instar de Google, pour protéger ses utilisateurs.

En 2013, Edward Snowden a encore révélé que le service de messagerie de Yahoo était une cible fréquente des espions parrainés par les États. Mais ce n’est qu’un an plus tard que l’entreprise a réagi en recrutant Alex Stamos – un personnage très respecté dans le milieu de la sécurité – pour occuper le poste de directeur de la sécurité de l’information. Ce recrutement a été salué par la communauté et Stamos n’aurait pas manqué de jouer son rôle. L’expert en sécurité aurait inspiré une équipe de jeunes ingénieurs qui a commencé à développer des codes sûrs et à améliorer la défense de l’entreprise. Il aurait également mis en place des « red teams », composées d’employés de Yahoo dont la mission était de pénétrer les systèmes de l’entreprise et de reporter leurs découvertes. Malheureusement, l’aventure de l’expert en sécurité chez Yahoo n’a été que de courte durée, un an et quatre mois environ, avant qu’il ne rejoigne Facebook en tant que directeur de la sécurité. D’après les personnes interrogées par le New York Times, le départ d’Alex Stamos était dû à des mésententes avec Marissa Mayer.

« Quand est venu le moment de sortir des dollars pour améliorer l'infrastructure de sécurité de Yahoo, Mme Mayer et M. Stamos se sont affrontés à plusieurs reprises », rapporte Reuters. « Elle a refusé des ressources financières à l'équipe de sécurité de Yahoo ». D’après les employés qui ont témoigné, « les paranoïaques ont été régulièrement débauchés par des concurrents comme Apple, Facebook et Google. »

Sous Mme Mayer, la PDG de Yahoo « a également rejeté la mesure de sécurité la plus basique de toutes : une réinitialisation automatique de tous les mots de passe utilisateur, une mesure que les experts en sécurité considèrent comme standard après une violation ». Les employés disent que la mesure a été rejetée par l'équipe de Mme Mayer « de peur que quelque chose d'aussi simple qu'un changement de mot de passe puisse conduire les utilisateurs de la messagerie de Yahoo vers d'autres services », rapporte Reuters.

Il faut également noter que Stamos et son équipe avaient proposé d’adopter le chiffrement de bout en bout pour Yahoo. Mais Jeff Bonforte, senior VP de Yahoo, responsable des produits de communications (Yahoo! Mail, Yahoo! Messenger, etc.) s’est opposé à l’initiative, estimant que cela aurait nui à la capacité de Yahoo d'indexer et de faire des recherches dans les messages des utilisateurs pour leur fournir de nouveaux services.

Source : Reuters

Et vous ?

Qu’en pensez-vous ?
Avatar de TiranusKBX TiranusKBX - Expert confirmé https://www.developpez.com
le 29/09/2016 à 20:52
En gros ils on tout fait pour faciliter la vie des pirates estimant que les utilisateurs pouvaient crever la bouche ouverte et ils espèrent gagner des clients avec ce genre de comportement ?
Avatar de micka132 micka132 - Membre expert https://www.developpez.com
le 29/09/2016 à 21:06
Citation Envoyé par Michael Guilloux Voir le message

Qu’en pensez-vous ?
Je pense que la plupart des gros acteurs américains en ont rien à faire de la securité. Ce sont des entreprises tellement énormes que ça leurs coûterait des sommes folles d’être parfaitement sécurisé.
C'est a peu prés comme si une banque avait un coffre fort de la taille de Paris...Bah forcement tu blindes pas partout.
Ce qu'il faut voir c'est que ce n'est pas seulement des problèmes de failles techniques, mais surtout des problèmes structurelles, de l'employé mécontent en passant par les sous traitances en cascades ou des serveurs isolés pour des développements ponctuels dont tout le monde a oublié l'existence...
Avatar de Vulcania Vulcania - Membre confirmé https://www.developpez.com
le 29/09/2016 à 21:50
C'est même pas un problème d’incompétence, d'une erreur humaine, mais une volonté de ne pas investir en sécurité. Le décisionnel devrait avoir leur responsabilité pénale engagé, peut être qu'ils reverront certaines décisions histoire que leur propre merde ne leur retombe pas dessus.
Avatar de TallyHo TallyHo - Membre éprouvé https://www.developpez.com
le 29/09/2016 à 22:10
Citation Envoyé par TiranusKBX Voir le message
En gros ils on tout fait pour faciliter la vie des pirates estimant que les utilisateurs pouvaient crever la bouche ouverte et ils espèrent gagner des clients avec ce genre de comportement ?
Tu crois que Mme Michu se tient informée de l'actualité informatique ? De plus, l'expérience montre que les gens s'en caguent complètement, même en étant informés, tant qu'ils ne sont pas touchés directement. Sinon ça ferait longtemps qu'on aurait plus de mot de passe à la con du type 12345, que les gens ne se feraient plus avoir avec leur CB, que les admins ne mettraient plus les passwords dans un fichier texte, etc...
Avatar de marsupial marsupial - Membre émérite https://www.developpez.com
le 30/09/2016 à 2:14
Citation Envoyé par TallyHo Voir le message
Tu crois que Mme Michu se tient informée de l'actualité informatique ? De plus, l'expérience montre que les gens s'en caguent complètement, même en étant informés, tant qu'ils ne sont pas touchés directement. Sinon ça ferait longtemps qu'on aurait plus de mot de passe à la con du type 12345, que les gens ne se feraient plus avoir avec leur CB, que les admins ne mettraient plus les passwords dans un fichier texte, etc...
Dans le cas de Yahoo, la publicite faite autour de l affaire, ne va pas leur permettre de facilement retrouver une image saine avant un moment. Donc d accord avec la 2e partie mais qui devrait au contraire faire redoubler de vigilance de la part de Yahoo et des acteurs du numerique en general.
Contacter le responsable de la rubrique Accueil