Piratage de Yahoo : un utilisateur poursuit l'entreprise pour « négligence »

Le rachat de Yahoo par Verizon pourrait en pâtir

Après avoir mené son enquête, Yahoo a reconnu avoir été la victime d’un piratage qui date de 2014 et concerne plus de 500 millions de comptes. Dans un communiqué, l’entreprise a évoqué une attaque par une entité sponsorisée par un État : « une enquête récente de Yahoo a confirmé qu'une copie de certaines informations de compte d'utilisateur a été volée dans le réseau de l'entreprise à la fin de 2014, par un acteur que nous croyons être parrainé par un État. Les informations de compte peuvent inclure des noms, des adresses e-mail, numéros de téléphone, dates de naissance, mots de passe hachés (la grande majorité avec bcrypt) et, dans certains cas, les questions et réponses de sécurité chiffrées ou non ».

Yahoo a fait son annonce jeudi 22 septembre. Mais le vendredi 23 septembre, le groupe a été poursuivi pour « négligence grave » par Ronald Schwartz, un résident de New York qui vise le statut de recours collectif qui va représenter tous les utilisateurs américains de Yahoo! affectés par le vol de leurs informations personnelles. Il entend réclamer des dommages et intérêts. Ses avocats ont déposé la plainte à San Jose (Californie), dans le même État que la maison mère de l’entreprise. À ses côtés, Schwartz à deux spécialistes des recours collectifs : les cabinets Robbins Geller Rudman & Dowd et Labaton Sucharow

La plainte suggère que Yahoo aurait pu éviter le piratage s’il avait renforcé ses mesures de sécurité étant donné qu’il avait déjà été la cible de pirates par le passé et n’a donc pas tenu à sa promesse de prendre « très au sérieux » la vie privée de ses utilisateurs : Yahoo a démontré de la « négligence à l'égard de la sécurité des informations personnelles de ses utilisateurs qu'il a promis de protéger ».

Schwartz reproche également à Yahoo d’avoir attendu près de deux mois pour faire un communiqué concernant la faille, ce qui est illégal dans 47 États aux Etats-Unis, qui requièrent que les entreprises qui ont été victimes d’un piratage le fassent savoir à leurs clients même si le délai varie d’un État à l’autre : certains demandent d’en informer les clients sur une période allant de 30 à 45 jours tandis que d’autres utilisent des termes plus généraux « aussitôt que ce sera utile » ou « sans délai déraisonnable ». Dans ces États, la période de notification peut être plus courte comme le montre un cas récent en Californie où l’avocat Aaron Tantleff, travaillant pour le compte de Foley and Lardner, a estimé que même deux semaines représentent un délai trop long.

Alors combien de temps a attendu Yahoo avant d’en informer ses utilisateurs ? Mais surtout pourquoi l’entreprise n’en a pas informé rapidement ses utilisateurs ? Une source proche de l’entreprise, qui a souhaité gardé l’anonymat, a affirmé ceci à propos du délai : « suite à un rapport plus tôt cet été (juillet 2016) d'un hacker qui a indiqué que 280 millions comptes utilisateurs sont en vente sur le marché noir, nous avons lancé une enquête interne et n’avons trouvé aucun éléments de preuve pour étayer les allégations du pirate. Après avoir terminé cette enquête, notre équipe de sécurité interne a continué de procéder à un examen plus large et plus profond de nos systèmes. Chemin faisant, elle a identifié des preuves du vol par un acteur parrainé par l'État qui a eu lieu en 2014 ». Cependant, même si cette affirmation s’avérait vérifiée, elle ne signifie pas nécessairement que Yahoo a respecté la loi.

Actuellement, Yahoo et Verizon ont négocié le rachat de l’ancienne gloire d’internet à hauteur de 4,8 milliards de dollars, rachat qui concerne l’acquisition du cœur de métier sur internet de Yahoo mais aussi plusieurs propriétés immobilières. Selon le spécialiste Dan Primack, cette poursuite pourrait bien affecter ce projet. La plus grosse menace à ce rachat se trouve dans un accord signé par les deux parties le 23 juillet 2016 qui avance que : « à la connaissance du vendeur, il n'y a pas eu d'incidents ou de réclamations de tiers alléguant, (i) atteintes à la sécurité : l'accès non autorisé ou utilisation non autorisée d’un des systèmes de technologie de l’information de l’une des filiales du vendeur ou (ii) la perte, le vol , l'accès non autorisé ou l'acquisition, la modification, la divulgation, la corruption ou toute autre utilisation abusive des données personnelles en possession du vendeur ou de l’une de ses filiales, ou d'autres données confidentielles détenues par le vendeur ou ses filiales (ou fournies au vendeur ou ses filiales par leur clients) en possession du vendeur ou de ses filiales, chaque cas (i) et (ii) pourrait raisonnablement avoir un effet défavorable important sur les affaires ».

Source : Fortune (recours collectif contre Yahoo), Fortune (analyse d'un paragraphe d'un accord signé entre Yahoo et Verizon)

Voir aussi :

Verizon va bientôt racheter Yahoo! pour 4,8 milliards de dollars, l'entreprise va bénéficier du cœur d'activité dans les services en ligne de Yahoo!