Yahoo piraté : la chronologie des événements reste obscure

Clément Bohic,
Sécurité
yahoo-hack-10-q

Le bilan que Yahoo dresse, dans son dernier rapport trimestriel d’activité remis à la SEC, à propos du piratage massif dont il a été victime, pose question.

Yahoo en sait-il plus qu’il ne le laisse entendre à propos du piratage qui a entraîné le vol d’informations rattachées à au moins un demi-milliard de comptes d’utilisateurs ?

On est tenté de répondre par l’affirmative en consultant le formulaire 10-Q remis la semaine passée à la SEC (Securities and Exchange Commission, autorité de contrôle et de régulation des marchés financiers aux États-Unis).

À plusieurs reprises dans ce document un temps passé sous les radars vu sa publication le jour de l’élection présidentielle américaine, il est fait mention dudit « incident de sécurité ».

Le ton a changé depuis l’officialisation du hack le 22 septembre dernier : alors qu’à l’époque, Yahoo disait avoir découvert la faille « lors d’une récente enquête », le groupe Internet pionnier affirme désormais avoir eu connaissance, dès fin 2014, d’une intrusion dans son réseau, attribuée à « un agent piloté par un État ».

La première formulation, en page 30 du 10-Q, est un peu malheureuse. Mais la situation dans son ensemble s’éclaircit un peu plus. On apprend notamment que ledit « agent » a probablement créé des cookies qui lui ont permis d’accéder de manière récurrente à certaines données sans mot de passe.

Pas de nouveautés concernant les données en question : on reste sur des noms, des adresses e-mail, des numéros de téléphone, des dates de naissance, des mots de passé chiffrés (la majorité avec bcrypt), ainsi que des questions de sécurité… pas systématiquement chiffrées.

La question Verizon

Yahoo recense 23 actions en justice déposées à son encontre dans le monde, que ce soit par des particuliers, des actionnaires ou des associations. Le groupe californien estime ne pas pouvoir, en l’état, estimer les coûts y afférents, ces procédures n’en étant « qu’à leurs débuts », à l’heure où l’enquête « reste ouverte ».

Dans ce cadre, un panel d’experts indépendants a été commissionné. Comme Recode le souligne néanmoins à l’appui des témoignages de sources internes à Yahoo, la patronne Marissa Mayer et le directeur juridique Ron Bell surveilleraient « de très près » le processus.

La firme a retenu, sur ses comptes du 3e trimestre 2016, des charges d’un million de dollars associées à ce piratage. Assez pour soulever des incertitudes exprimées en page 69 du 10-Q : que Verizon remette en cause l’accord signé fin juillet pour s’emparer des principales activités de Yahoo, dans les services Web.

Le groupe télécoms américain ne souhaiterait plus mettre sur la table les 4,8 millions de dollars qu’il s’était engagé à verser. Il estime que les termes du contrat d’acquisition pourraient lui permettre de renégocier le deal.

Lire aussi :

Oath : Yahoo et AOL unis par Verizon pour le meilleur et la pub

Marissa Mayer ne quittera pas Yahoo les mains vides

Verizon ne compte pas ranger la marque Yahoo au placard

Clément Bohic
Auteur : Clément Bohic
Lire la biographie de l´auteur  Masquer la biographie de l´auteur