Yahoo aurait-il pu éviter l’attaque informatique qui a entraîné la fuite de données personnelles associées à au moins 500 millions de comptes d’utilisateurs* ?
Ronald Schwartz répond par l’affirmative.
Ce résident de New York, usager des services du groupe Internet depuis 2008, a déposé, vendredi 23 septembre auprès du tribunal fédéral de San José (Californie), une plainte qu’il souhaite faire évoluer en recours collectif.
Plusieurs griefs sont portés contre Yahoo. Notamment le fait que près de deux ans se soient écoulés entre le hack – qui remonterait à fin 2014 – et son officialisation, jeudi dernier.
Ronald Schwartz est persuadé que certaines personnes en interne étaient au courant de l’assaut, mais n’ont pas communiqué pour ne pas compromettre la revente du cœur d’activité de la société.
Verizon, qui a officiellement remporté les enchères au mois de juillet pour 4,83 milliards de dollars, assure n’avoir été mis au courant que la semaine passée. Si bien que les analystes se demandent aujourd’hui dans quelle mesure le groupe télécoms américain acceptera de finaliser la transaction aux conditions définies cet été.
Et si d’aventure personne n’avait été au courant chez Yahoo ? D’après Ronald Schwartz, c’est tout aussi alarmant : près de deux ans pour réagir, c’est bien plus que les 249 jours qu’il faut en moyenne à une organisation pour colmater une brèche (191 jours pour la découvrir et 58 jours pour l’éliminer ; source Ponemon Institute).
Dans la plainte (document PDF, 15 pages), il est fait état de « négligence grave » au regard des engagements pris par Yahoo tout au long de son contrat utilisateur : « Nous prenons votre vie privée très au sérieux », « Ne peuvent accéder à vos données que quelques employés susceptibles de […] vous proposer des produits ou des services […] »…
Bloomberg a repéré des procédures similaires ouvertes à San Diego et dans l’Illinois. Du côté de Yahoo, on déclare n’avoir aucun commentaire à apporter sur les litiges en cours.
* Dans l’alerte de sécurité émise à ce sujet, Yahoo penche pour une opération de piratage impliquant les autorités d’un pays. Il est demandé aux utilisateurs qui n’ont pas changé leur mot de passe depuis 2014 de procéder au plus vite à sa réinitialisation. Un système de contrôle des accès jugés douteux doit être mis en place.
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…