Yahoo aurait espionné les emails de ses clients pour le FBI ou la NSA
Ce qui aurait causé le départ de l'expert en sécurité Alex Stamos pour Facebook

Le , par Michael Guilloux, Chroniqueur Actualités
Le piratage de Yahoo récemment annoncé a attiré l’attention des autorités et des médias sur les pratiques de sécurité de la société. Comment une violation d’une telle ampleur a-t-elle été possible ? C’est une question que beaucoup se posent. Le fournisseur de services sur internet, quant à lui, soupçonne un acteur parrainé par un État d’être à l’origine de l’attaque, ce qui est d’ailleurs sérieusement mis en doute. Mais pendant ce temps, d’anciens employés mais également des employés actuels de Yahoo familiers aux pratiques de sécurité de la société insinuent par leurs témoignages que Yahoo serait le premier responsable de cette brèche de sécurité.

L’un de nos derniers articles sur le sujet mettait par exemple en évidence le laxisme de Marissa Mayer vis-à-vis de la sécurité. D’après les témoignages d’anciens employés de Yahoo, on pouvait en effet noter que la sécurité était bien loin d’être une priorité pour celle qui est pourtant la PDG d’une entreprise qui détient une énorme base de données personnelles sur au moins un milliard d’utilisateurs ; en plus, dans un contexte animé par les débats sur la vie privée et la sécurité.

Un nouveau rapport du quotidien Reuters tend à confirmer ce pressentiment sur le désintérêt de Yahoo par rapport à la sécurité de ses clients. Cette fois-ci, ce sont quatre sources – trois anciens employés et une quatrième personne ayant connaissance de l’affaire – qui ont confié à Reuters que l’année dernière, Yahoo a développé un logiciel personnalisé pour rechercher un ensemble de caractères dans les emails de ses clients. Le programme a été conçu à la demande des services de renseignement américains.

D’après les sources, la société s'est en fait conformée à une demande du gouvernement des États-Unis, en analysant des centaines de millions de comptes Yahoo Mail à la demande de la NSA ou du FBI. Ce qui confirme bien les inquiétudes de nombreux internautes sur le fait que certains fournisseurs de services web aident le gouvernement américain à espionner leurs clients. Mais le cas de Yahoo semble être le premier où le fournisseur se voit profondément impliqué au point de concevoir un outil pour aider les agences d’espionnage à surveiller les messages des utilisateurs.

La demande a été envoyée à l’équipe juridique de Yahoo. D’après les sources, Marissa Mayer et d’autres responsables de la société ont décidé de se plier à l’ordre du tribunal, pensant qu’ils allaient perdre le combat de toute façon. Sans impliquer l’équipe de sécurité de Yahoo dans le processus, la PDG a donc demandé aux ingénieurs de la société de mettre en place le programme demandé par les services de renseignement américains. Le logiciel d’espionnage a ensuite été découvert par l’équipe de sécurité de Yahoo (dont les membres ont été surnommés les paranoïaques) en mai 2015, quelques semaines après son installation. Les paranoïaques ont d’abord pensé aux pirates avant de découvrir que le programme a été développé à la demande du FBI ou de la NSA et avec l’autorisation de Marissa Mayer.

La décision de la PDG de Yahoo de se conformer à cette demande du gouvernement américain n’a pas été bien accueillie par certains responsables de la société, y compris Alex Stamos, un expert en sécurité, ex numéro un de la sécurité chez Yahoo. D’après les sources, lorsque Stamos a découvert que Mayer avait autorisé le programme d’espionnage, il a démissionné de son poste de chef de la sécurité de l'information en expliquant à ses subordonnés qu'il avait été écarté dans la prise d’une décision affectant la sécurité des utilisateurs. Alex Stamos a rejoint Facebook en juin 2015 où il occupe le même poste. Lorsqu’il quittait Yahoo, il n’avait évoqué aucun problème avec la société parmi les raisons de son départ. Mais nous avions appris la semaine dernière qu’il a quitté le fournisseur de messagerie suite à des désaccords avec Marissa Mayer.

Contacté par Reuters par rapport à ces révélations, un porte-parole de la société a répondu que « Yahoo est une société respectueuse des lois, et se conforme aux lois des États-Unis ». Il a toutefois refusé d’en dire plus. Alex Stamos a également refusé de commenter l'affaire.

Pour certains experts, Yahoo aurait pu combattre l’ordre du tribunal, comme l’a fait Apple lorsque le FBI lui a demandé de créer un programme spécial pour pirater l’iPhone de l’un des auteurs de l’attaque de San Bernardino. « C’est profondément décevant que Yahoo ait refusé de contester cet ordre de surveillance », a déclaré Patrick Toomey, un avocat de l'American Civil Liberties Union. Dans un communiqué, il explique en effet que les clients comptent sur les entreprises de technologie pour résister aux ordres d'espionnage des tribunaux. Ces demandes sont de plus en plus fréquentes étant donné qu’avec le déploiement du chiffrement fort, les agences telles que le FBI ou la NSA éprouvent davantage de difficultés à espionner les utilisateurs. Elles n’ont plus d’autre choix que de demander aux entreprises de technologie de le faire à leur place. D’autres experts défendent toutefois la décision de Yahoo, parce que selon eux, rechercher des termes spécifiques plutôt que de cibler des comptes spécifiques ne serait pas illégal.

Qu’en est-il des autres fournisseurs de messagerie notamment Microsoft et Google ? Reuters n’a pas réussi à avoir leurs commentaires sur le sujet. Mais contacté par le quotidien Ars Technica, un porte-parole de Microsoft répond que la firme de Redmond n’a « jamais été impliquée dans une telle surveillance du trafic d’email comme ce qui a été rapporté avec Yahoo ». De son côté, Google a rejeté toute possibilité de mener une telle pratique : « Nous n’avons jamais reçu une telle demande, mais si c’était le cas, notre réponse serait simple : en aucune façon !», rassure un porte-parole de la firme de Mountain View.

Source : Reuters

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

Yahoo : la sécurité ne semble pas être une priorité pour la PDG Marissa Mayer, d'après des employés de l'entreprise
Piratage de Yahoo : plus d'un milliard d'utilisateurs pourraient être affectés, d'après un ancien responsable de la société
Yahoo confirme le piratage de plus d'un demi-milliard de comptes, la société attribue l'attaque à un groupe parrainé par un État


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de Ryu2000 Ryu2000 - Membre extrêmement actif https://www.developpez.com
le 05/10/2016 à 9:24
Citation Envoyé par Michael Guilloux Voir le message
Qu’en pensez-vous ?
Ce qui est choquant c'est que la demande vient du gouvernement :

Citation Envoyé par Michael Guilloux Voir le message
la société s'est en fait conformée à une demande du gouvernement des États-Unis, en analysant des centaines de millions de comptes Yahoo Mail à la demande de la NSA ou du FBI.
On a un peu l'impression que Microsoft et Google se foutent de notre gueule :
Citation Envoyé par Michael Guilloux Voir le message
Microsoft : « jamais été impliquée dans une telle surveillance du trafic d’email comme ce qui a été rapporté avec Yahoo ».
Google : « Nous n’avons jamais reçu une telle demande, mais si c’était le cas, notre réponse serait simple : en aucune façon !»
Pourquoi le gouvernement US aurait demandé seulement à Yahoo de pouvoir tout espionner ?
Bon en même temps ils n'allaient pas dire "Oui le FBI et la NSA nous ont demandé l'accès aux emails de tous nos utilisateurs et nous leur avons donné".
Avatar de NSKis NSKis - En attente de confirmation mail https://www.developpez.com
le 05/10/2016 à 12:42
Yahoo a été pris la main dans le pot de confiture...

Google joue au naïf et dit n'être au courant de rien...

Microsoft joue au absent et ne répond pas aux questions...

Conclusion? Simple: Ils espionnent tous leur clients pour le compte du gouvernement américain mais ils divergent par leur politique de communication

Parce que il ne faudrait pas oublier que, selon la loi américain, les CEO de ces sociétés, riches à millions, risquent juste la prison s'ils ne collaborent pas... Alors franchement entre l'éthique à 2 euro du style "nous défendrons jusqu'au bout la confidentialité de données de nos clients" et "je ne veux pas lâcher mes millions de bonus annuels", nul doute que ces grands managers ont vite fait leur choix...
Avatar de air-dex air-dex - Membre émérite https://www.developpez.com
le 06/10/2016 à 0:12
Laurent Chemla disait que "Internet ne peut pas être contrôlé". Sauf que c'est totalement faux. Internet est entre les mains des USA. S'il y a bien une chose à retenir des révélations de Snowden et de bien d'autres affaires autour d'Internet (je pense à Megaupload), c'est bien celle là. Il y a une nation derrière tout, même dans le cyber-espace. Il n'y a rien d'international. Dire que "cer international", c'est faire le jeu de la nation derrière ce mot, bien souvent les USA. "ONU OS" n'existe pas. On ne s'intéresse pas assez à la nationalité des choses en informatique, et j'ai l'impression que même les plus geeks d'entre nous n'en ont pas tellement conscience, notamment à cause de l'écran de fumée utopique "international".

La seule chose que l'on peut faire est de choisir la nation qui nous espionnera, puisque de toute façon il y en aura toujours une. Si on ne veut pas être espionné par les Américains, alors on choisit des services non Américains, point barre. On soutient alors des alternatives non américaines, des alternatives sur lesquelles les USA n'ont aucune emprise. Ubuntu est anglais, HubiC est français et Spotify est suédois (quoique son URL principale est américaine donc attention). Mais encore faut-il soutenir ces alternatives et ne pas céder au (très américain) french bashing. C'est le seul moyen de faire baisser l'influence américaine sur Internet.

Pour revenir à l'affaire de Yahoo!, rappelons que le gouvernement américain tient ses géants du high-tech par les couil*es via PRISM. Les révélations de Snowden n'ont pas arrêté le programme, que je sache. Partant de là il peut faire faire tout ce qu'il veut à ses entreprises de high-tech. Yahoo! s'était rebellé et était allé devant les tribunaux. Mais Y! a perdu et s'est retrouvé judiciairement contraint d'exécuter les ordres des USA dans le cadre de PRISM, càd les backdoors pour que la NSA espionne et tout le toutim. "Tout le toutim" dont on a des détails ici. Y! avait déjà perdu une fois contre les USA sur le sujet donc Marissa Mayer n'a sans doute pas jugé utile d'aller encore perdre des millions en frais judiciaires pour que dalle au final. En attendant Y! aura mon respect pour au moins avoir essayé de dire merde aux USA et à la NSA, même si cela a malheureusement échoué.
Avatar de Michael Guilloux Michael Guilloux - Chroniqueur Actualités https://www.developpez.com
le 07/10/2016 à 14:52
Espionnage des emails : Yahoo avoue avoir aidé les services de renseignement US
mais réfute toute éventuelle surveillance de masse

Comme nous l’avons rapporté il y a deux jours, Yahoo aurait espionné les emails de ses clients pour la NSA ou le FBI. D’après des sources du quotidien Reuters, la société s'est en fait conformée à une demande du gouvernement des États-Unis, en analysant des centaines de millions de comptes Yahoo Mail à la demande des services de renseignement US. Concrètement, Yahoo aurait développé un logiciel personnalisé pour rechercher un ensemble de caractères dans les emails entrants de ses clients. Interrogé pour savoir si ces faits sont vrais, un porte-parole de la firme a tout simplement répondu que « Yahoo est une société respectueuse des lois, et se conforme aux lois des États-Unis ».

Contacté par le New York Times, Yahoo a reconnu être impliqué dans une telle affaire, en recadrant toutefois des déclarations faites dans l’article de Reuters. Cet article évoquait en effet « une large demande » de collecte de données en temps réel pour laquelle Yahoo avait « développé secrètement un logiciel personnalisé pour rechercher dans les emails entrants de tous ses clients des informations spécifiques fournies par les responsables du renseignement américain. » En parlant de tous les clients, cela indiquait une éventuelle surveillance de masse avec la complicité de Yahoo ; ce que la société a démenti. « L’analyse des courriels telle que décrite dans l’article [de Reuters] n’existe pas dans nos systèmes », explique la société qui dit « minimiser les divulgations » lorsqu’elle répond à chaque demande du gouvernement pour obtenir les données des utilisateurs.

Pour en venir à l’ordonnance du tribunal et le logiciel qui aurait été développé par Yahoo pour aider les services de renseignement, des responsables du gouvernement américain proches de l’affaire ont également tenu à clarifier les choses. Yahoo avait reçu l’ordre par un juge de la Foreign Intelligence Surveillance Court pour transmettre au FBI certains messages échangés par une organisation terroriste parrainée par un État. Les enquêteurs étaient persuadés que les agents de l’organisation terroriste utilisaient la messagerie de Yahoo, mais n’avaient aucune idée des comptes utilisés. L’ordre du tribunal obligeait donc Yahoo à rechercher une certaine signature numérique dans les emails entrants, laquelle signature serait associée à l’organisation terroriste.

Pour répondre à cette demande, Yahoo aurait modifié un logiciel existant, plutôt que de développer un nouveau logiciel, comme le suggère le quotidien Reuters. Il s’agit du système de filtrage de spam, destiné à analyser les messages électroniques pour détecter la pornographie juvénile et le spam. Avec quelques modifications de son programme, Yahoo a donc pu satisfaire à la demande du tribunal : le système stockait et mettait à la disposition du FBI une copie des messages contenant la signature numérique recherchée.

D’après les responsables du gouvernement qui ont demandé à rester dans l’anonymat, Yahoo a été interdit de divulguer l’affaire. Ils affirment aussi que la collecte de données en question n’a plus lieu à ce jour.

Source : The New York Times

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

Rachat de Yahoo : entre piratage et espionnage, Verizon réclame une réduction d'un milliard $, estimant une baisse de la valeur Yahoo
Yahoo confirme le piratage de plus d'un demi-milliard de comptes, la société attribue l'attaque à un groupe parrainé par un État
Yahoo : la sécurité ne semble pas être une priorité pour la PDG Marissa Mayer, d'après des employés de l'entreprise
Avatar de persé persé - Membre régulier https://www.developpez.com
le 07/10/2016 à 16:03
Qui pense qu'il faut quitter Yahoo maintenant ? et qu'est ce que vous proposez comme alternance ?
Avatar de yoyo3d yoyo3d - Membre éclairé https://www.developpez.com
le 07/10/2016 à 17:07
Qu’en pensez-vous ?
Ba entre googlwindbook et autres FBiNSA, je ne vois pas comment échapper au superbigbrother à part virer internet et éteindre mon téléphone portable...
et ne croyez pas que la situation soit meilleur en France...

Cette surveillance me dérange, d'abord parce que je ne maitrise pratiquement rien des données qui sont récupérées (même si je n'ai rien à cacher), et ensuite par ce que ces données sont utilisées commercialement contre moi... (emm%%**rder tous les jours avec des appels commerciaux sur ma ligne fixe et des pubs souvent trop intrusives à mon gout)...
Avatar de Squisqui Squisqui - En attente de confirmation mail https://www.developpez.com
le 07/10/2016 à 18:39
Citation Envoyé par yoyo3d Voir le message
Ba entre googlwindbook et autres FBiNSA, je ne vois pas comment échapper au superbigbrother à part virer internet et éteindre mon téléphone portable...
Que de fatalité alors qu'il n'est pas encore illégal d'héberger ses propres emails.
Avatar de yoyo3d yoyo3d - Membre éclairé https://www.developpez.com
le 07/10/2016 à 19:19
ba arrêtes tu va leur donner des idées... ha trop tard!!
Avatar de Malick Malick - Community Manager https://www.developpez.com
le 15/01/2017 à 18:30
Espionnage des emails Yahoo : l'UE déclare ne pas être satisfaite des explications fournies par les États-Unis
et demande des informations plus détaillées

En novembre dernier, la Commission européenne avait demandé aux États-Unis de lui fournir des explications relatives à l'espionnage des emails Yahoo à des fins de renseignement américain et qui a récemment fait la une des médias. Aujourd'hui, l'exécutif européen a annoncé que les explications fournies par le gouvernement américain ne répondent pas à ses préoccupations, et par conséquent elle a considéré les explications comme étant non satisfaisantes.

Pour rappel, au mois d'octobre passé, Yahoo a été accusé d'avoir espionné les emails de ses clients pour le compte de la National Security Agency (NSA) ou du Federal Bureau of Investigation (FBI). D’après les informations qui avaient été fournies par le quotidien Reuters au moment des faits, la société Yahoo, en faisant cela, s'était en fait conformée à une demande du gouvernement des États-Unis, en analysant des centaines de millions de comptes Yahoo Mail à la demande des services de renseignement US. Concrètement, Yahoo aurait développé un logiciel personnalisé pour rechercher un ensemble de caractères dans les emails entrants de ses clients. Interrogé pour savoir si ces faits sont vrais, un porte-parole de la firme avait tout simplement répondu que « Yahoo est une société respectueuse des lois, et se conforme aux lois des États-Unis ». Répondant aux questions du New York Times sur cette affaire, Yahoo a finalement reconnu avoir aidé les services de renseignement US, toutefois elle a réfuté toute éventuelle surveillance de masse comme le cela a été relayé par plusieurs médias.

En ce qui concerne l'ordonnance du tribunal qui a été servi à Yahoo, certains responsables du gouvernement des États-Unis avaient déjà tenté de donner des précisions sur cette affaire en affirmant que Yahoo avait reçu l’ordre par un juge de la Foreign Intelligence Surveillance Court pour transmettre au FBI certains messages échangés par une organisation terroriste parrainée par un État. Les enquêteurs étaient persuadés que les agents de l’organisation terroriste utilisaient la messagerie de Yahoo, mais n’avaient aucune idée des comptes utilisés. L’ordre du tribunal obligeait donc Yahoo à rechercher une certaine signature numérique dans les emails entrants, laquelle signature serait associée à l’organisation terroriste.

« Je ne suis pas satisfaite parce que, à mon goût, la réponse est relativement tardive et relativement générale. Cette situation ne rentre pas dans le cadre d'un bon échange d'informations, rapide et complet. », a déclaré Vera Jourova, la commissaire européenne à la Justice. Néanmoins, Mme Jourova soutient qu'elle est toujours en attente d'informations plus détaillées sur ce qui est arrivé et les raisons pour lesquelles les États-Unis ont demandé à Yahoo de scanner les emails de ses clients.

Il convient de préciser que cette enquête diligentée par la Commission européenne rentre dans le cadre de la surveillance de l'application des accords découlant de la Privacy Shield. Cette dernière, qui est entrée en vigueur en juillet 2016, impose aux États-Unis de ne pas se livrer à des pratiques de surveillance de masse ; condition que les USA ont acceptée au moment de signer l'accord. Rappelons que la Privacy Shield, encore appelée «bouclier de protection des données UE-États-Unis», autorise le transfert de vos données personnelles de l’Union européenne à une société aux États-Unis, pour autant que cette société procède au traitement de vos données à caractère personnel en respectant un ensemble solide de règles et garanties en matière de protection des données.

Source : Reuters

Et vous ?

Que pensez-vous de la déclaration de l'UE ?

Voir aussi

Espionnage des emails : Yahoo avoue avoir aidé les services de renseignement US, mais réfute toute éventuelle surveillance de masse


Yahoo aurait espionné les emails de ses clients pour le FBI ou la NSA , ce qui aurait causé le départ de l'expert en sécurité Alex Stamos pour Facebook
Avatar de NSKis NSKis - En attente de confirmation mail https://www.developpez.com
le 15/01/2017 à 20:12
Et ben, elle a de la peine à comprendre la charmante Vera Jourova, commissaire européenne à la Justice

L'explication est pourtant simple: Les USA espionnent tous le monde!!!

Que veut-elle comme autres explications?
Contacter le responsable de la rubrique Accueil