Le piratage de Yahoo récemment annoncé a attiré l’attention des autorités et des médias sur les pratiques de sécurité de la société. Comment une violation d’une telle ampleur a-t-elle été possible ? C’est une question que beaucoup se posent. Le fournisseur de services sur internet, quant à lui, soupçonne un acteur parrainé par un État d’être à l’origine de l’attaque, ce qui est d’ailleurs sérieusement mis en doute. Mais pendant ce temps, d’anciens employés mais également des employés actuels de Yahoo familiers aux pratiques de sécurité de la société insinuent par leurs témoignages que Yahoo serait le premier responsable de cette brèche de sécurité.
L’un de nos derniers articles sur le sujet mettait par exemple en évidence le laxisme de Marissa Mayer vis-à-vis de la sécurité. D’après les témoignages d’anciens employés de Yahoo, on pouvait en effet noter que la sécurité était bien loin d’être une priorité pour celle qui est pourtant la PDG d’une entreprise qui détient une énorme base de données personnelles sur au moins un milliard d’utilisateurs ; en plus, dans un contexte animé par les débats sur la vie privée et la sécurité.
Un nouveau rapport du quotidien Reuters tend à confirmer ce pressentiment sur le désintérêt de Yahoo par rapport à la sécurité de ses clients. Cette fois-ci, ce sont quatre sources – trois anciens employés et une quatrième personne ayant connaissance de l’affaire – qui ont confié à Reuters que l’année dernière, Yahoo a développé un logiciel personnalisé pour rechercher un ensemble de caractères dans les emails de ses clients. Le programme a été conçu à la demande des services de renseignement américains.
D’après les sources, la société s'est en fait conformée à une demande du gouvernement des États-Unis, en analysant des centaines de millions de comptes Yahoo Mail à la demande de la NSA ou du FBI. Ce qui confirme bien les inquiétudes de nombreux internautes sur le fait que certains fournisseurs de services web aident le gouvernement américain à espionner leurs clients. Mais le cas de Yahoo semble être le premier où le fournisseur se voit profondément impliqué au point de concevoir un outil pour aider les agences d’espionnage à surveiller les messages des utilisateurs.
La demande a été envoyée à l’équipe juridique de Yahoo. D’après les sources, Marissa Mayer et d’autres responsables de la société ont décidé de se plier à l’ordre du tribunal, pensant qu’ils allaient perdre le combat de toute façon. Sans impliquer l’équipe de sécurité de Yahoo dans le processus, la PDG a donc demandé aux ingénieurs de la société de mettre en place le programme demandé par les services de renseignement américains. Le logiciel d’espionnage a ensuite été découvert par l’équipe de sécurité de Yahoo (dont les membres ont été surnommés les paranoïaques) en mai 2015, quelques semaines après son installation. Les paranoïaques ont d’abord pensé aux pirates avant de découvrir que le programme a été développé à la demande du FBI ou de la NSA et avec l’autorisation de Marissa Mayer.
La décision de la PDG de Yahoo de se conformer à cette demande du gouvernement américain n’a pas été bien accueillie par certains responsables de la société, y compris Alex Stamos, un expert en sécurité, ex numéro un de la sécurité chez Yahoo. D’après les sources, lorsque Stamos a découvert que Mayer avait autorisé le programme d’espionnage, il a démissionné de son poste de chef de la sécurité de l'information en expliquant à ses subordonnés qu'il avait été écarté dans la prise d’une décision affectant la sécurité des utilisateurs. Alex Stamos a rejoint Facebook en juin 2015 où il occupe le même poste. Lorsqu’il quittait Yahoo, il n’avait évoqué aucun problème avec la société parmi les raisons de son départ. Mais nous avions appris la semaine dernière qu’il a quitté le fournisseur de messagerie suite à des désaccords avec Marissa Mayer.
Contacté par Reuters par rapport à ces révélations, un porte-parole de la société a répondu que « Yahoo est une société respectueuse des lois, et se conforme aux lois des États-Unis ». Il a toutefois refusé d’en dire plus. Alex Stamos a également refusé de commenter l'affaire.
Pour certains experts, Yahoo aurait pu combattre l’ordre du tribunal, comme l’a fait Apple lorsque le FBI lui a demandé de créer un programme spécial pour pirater l’iPhone de l’un des auteurs de l’attaque de San Bernardino. « C’est profondément décevant que Yahoo ait refusé de contester cet ordre de surveillance », a déclaré Patrick Toomey, un avocat de l'American Civil Liberties Union. Dans un communiqué, il explique en effet que les clients comptent sur les entreprises de technologie pour résister aux ordres d'espionnage des tribunaux. Ces demandes sont de plus en plus fréquentes étant donné qu’avec le déploiement du chiffrement fort, les agences telles que le FBI ou la NSA éprouvent davantage de difficultés à espionner les utilisateurs. Elles n’ont plus d’autre choix que de demander aux entreprises de technologie de le faire à leur place. D’autres experts défendent toutefois la décision de Yahoo, parce que selon eux, rechercher des termes spécifiques plutôt que de cibler des comptes spécifiques ne serait pas illégal.
Qu’en est-il des autres fournisseurs de messagerie notamment Microsoft et Google ? Reuters n’a pas réussi à avoir leurs commentaires sur le sujet. Mais contacté par le quotidien Ars Technica, un porte-parole de Microsoft répond que la firme de Redmond n’a « jamais été impliquée dans une telle surveillance du trafic d’email comme ce qui a été rapporté avec Yahoo ». De son côté, Google a rejeté toute possibilité de mener une telle pratique : « Nous n’avons jamais reçu une telle demande, mais si c’était le cas, notre réponse serait simple : en aucune façon !», rassure un porte-parole de la firme de Mountain View.
Source : Reuters
Et vous ?
Qu’en pensez-vous ?
Voir aussi :
Yahoo : la sécurité ne semble pas être une priorité pour la PDG Marissa Mayer, d'après des employés de l'entreprise
Piratage de Yahoo : plus d'un milliard d'utilisateurs pourraient être affectés, d'après un ancien responsable de la société
Yahoo confirme le piratage de plus d'un demi-milliard de comptes, la société attribue l'attaque à un groupe parrainé par un État
Yahoo aurait espionné les emails de ses clients pour le FBI ou la NSA
Ce qui aurait causé le départ de l'expert en sécurité Alex Stamos pour Facebook
Yahoo aurait espionné les emails de ses clients pour le FBI ou la NSA
Ce qui aurait causé le départ de l'expert en sécurité Alex Stamos pour Facebook
Le , par Michael Guilloux
Une erreur dans cette actualité ? Signalez-nous-la !