IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Yahoo pourrait débourser jusqu'à 117,5 millions de dollars suite au recours collectif,
Concernant la violation des données de ses utilisateurs

Le , par Stéphane le calme

176PARTAGES

11  0 
En septembre 2016, Yahoo a affirmé avoir été victime d’un piratage parrainé par un État et dans lequel plus de 500 millions de comptes d’utilisateurs avaient été affectés. La découverte de cette violation de sécurité fait suite à des investigations menées par la société après qu’une supposée base de données de ses utilisateurs a été mise en vente sur le dark web.

Après avoir mené son enquête, Yahoo a reconnu avoir été la victime d’un piratage qui date de 2014 et concerne plus de 500 millions de comptes. Dans un communiqué, l’entreprise a évoqué une attaque par une entité sponsorisée par un État : « une enquête récente de Yahoo a confirmé qu'une copie de certaines informations de compte d'utilisateur a été volée dans le réseau de l'entreprise à la fin de 2014, par un acteur que nous croyons être parrainé par un État. Les informations de compte peuvent inclure des noms, des adresses e-mail, numéros de téléphone, dates de naissance, mots de passe hachés (la grande majorité avec bcrypt) et, dans certains cas, les questions et réponses de sécurité chiffrées ou non ».

Yahoo a fait son annonce jeudi 22 septembre. Mais le vendredi 23 septembre, le groupe a été poursuivi pour « négligence grave » par Ronald Schwartz, un résident de New York qui visait un statut de recours collectif pour représenter tous les utilisateurs américains de Yahoo! affectés par le vol de leurs informations personnelles. Il entendait réclamer des dommages et intérêts. Ses avocats ont déposé la plainte à San Jose (Californie), dans le même État que la maison mère de l’entreprise. À ses côtés, Schwartz avait deux spécialistes des recours collectifs : les cabinets Robbins Geller Rudman & Dowd et Labaton Sucharow

La plainte suggérait que Yahoo aurait pu éviter le piratage s’il avait renforcé ses mesures de sécurité étant donné qu’il avait déjà été la cible de pirates par le passé et n’a donc pas tenu à sa promesse de prendre « très au sérieux » la vie privée de ses utilisateurs : Yahoo a démontré de la « négligence à l'égard de la sécurité des informations personnelles de ses utilisateurs qu'il a promis de protéger ».

Schwartz reprochait également à Yahoo d’avoir attendu près de deux mois pour faire un communiqué concernant la faille, ce qui est illégal dans 47 États aux Etats-Unis, qui requièrent que les entreprises qui ont été victimes d’un piratage le fassent savoir à leurs clients même si le délai varie d’un État à l’autre : certains demandent d’en informer les clients sur une période allant de 30 à 45 jours tandis que d’autres utilisent des termes plus généraux « aussitôt que ce sera utile » ou « sans délai déraisonnable ». Dans ces États, la période de notification peut être plus courte comme le montre un cas récent en Californie où l’avocat Aaron Tantleff, travaillant pour le compte de Foley and Lardner, a estimé que même deux semaines représentent un délai trop long.


Le recours collectif

Lundi 22 octobre 2018, Yahoo! a accepté de payer 50 millions de dollars (43,8 millions d’euros) pour dédommager les victimes américaines et israéliennes des piratages qui ont touché ses services.

Il aura fallu deux ans de procédure pour parvenir à un accord préliminaire avec la justice californienne concernant 1 milliard de comptes, détenus par 200 millions d’internautes américains et israéliens entre 2012 et 2016.

Ceux-ci pourront alors réclamer une partie des 50 millions de dollars, à condition de montrer que le piratage leur a porté préjudice, souligne l’agence Associated Press – s’ils ont par exemple été victimes d’usurpation d’identité. En outre, Yahoo s’est engagé à rembourser à hauteur de 35 millions de dollars les frais d’avocats engagés lors des poursuites judiciaires à son encontre.

Yahoo a également décidé de fournir aux utilisateurs concernés aux États-Unis des services de surveillance du crédit pendant deux ans via AllClear, un package qui coûterait environ 350 $. Il existe également des options de compensation permettant aux petites entreprises et aux particuliers de récupérer les coûts des pertes associées aux piratages. Enfin, ceux qui ont payé pour des services de messagerie premium Yahoo sont éligibles pour un remboursement de 25%.

L’accord était soumis à l’approbation finale de la juge américaine Lucy Koh du district nord de la Californie, qui devait rendre sa décision finale après une audience qui a été programmée pour le 29 novembre 2018.

Les termes révisés de l’accord

Yahoo a conclu un règlement révisé de 117,5 millions de dollars avec des millions de personnes dont les adresses électroniques et autres informations personnelles ont été volées au cours de la plus grande violation de données de son histoire.

Le règlement proposé concernant le recours collectif rendu public mardi visait à répondre aux critiques adressées à la juge américaine Lucy Koh, de district, à San Jose, en Californie. Elle a rejeté une version antérieure de l'accord le 28 janvier et son approbation est toujours requise.

Koh a déclaré que le règlement initial n'était pas « fondamentalement juste, adéquat et raisonnable » car il n'avait aucune valeur monétaire globale et ne précisait pas combien de temps les victimes pourraient espérer récupérer. Elle a également déclaré que les frais juridiques semblaient trop élevés.


Le nouveau règlement comprend au moins 55 millions de dollars pour les dépenses des victimes et autres coûts, 24 millions de dollars pour la surveillance du crédit sur deux ans, jusqu'à 30 millions de dollars pour les frais juridiques et jusqu'à 8,5 millions de dollars pour les autres dépenses.

Il couvre pas moins de 194 millions de personnes aux États-Unis et en Israël avec environ 896 millions de comptes.

John Yanchunis, avocat des plaignants, a déclaré devant un tribunal que ce montant de 117,5 millions de dollars était « le plus grand fonds commun jamais obtenu dans une affaire de violation de données ».

Par ailleurs, Verizon a accepté de dépenser 306 millions de dollars entre 2019 et 2022 pour la sécurité de l’information, soit cinq fois plus que Yahoo entre 2013 et 2016. Il s’est également engagé à quadrupler les effectifs de Yahoo dans ce domaine.

« Le règlement témoigne de notre ferme attachement à la sécurité », a déclaré Verizon dans un communiqué.

En juillet 2016, Yahoo a accepté de vendre ses activités Internet à Verizon pour 4,83 milliards de dollars. Ce n’est que plus tard qu’elle a révélé l’ampleur des violations, ce qui a entraîné une réduction de prix à 4,48 milliards de dollars. Verizon a annulé une grande partie de la valeur de Yahoo en décembre.

Les procureurs américains ont inculpé deux agents des services de renseignement russes et deux pirates informatiques en lien avec l'une des infractions commises en 2017. Un pirate informatique a par la suite plaidé coupable.

Source : Reuters

Une erreur dans cette actualité ? Signalez-nous-la !