En décembre dernier, Yahoo avait annoncé qu’un milliard de comptes d’utilisateurs avaient été compromis suite à une attaque informatique qui avait affecté ses serveurs en 2013 : un incident majeur. À présent, quatre ans après les faits, la société vient de confesser que c’est en réalité la totalité de ses comptes, au nombre d’environ trois milliards, dont les données d’identification étaient tombées entre les mains des hackers. Si l’envergure de l’incident avait été jugée énorme lors de la première annonce, qu’en dire maintenant ?
À la décharge de Yahoo, on peut certes rappeler que l’entreprise, dont l’essentiel de l’activité a été repris entre juillet 2016 et juin 2017 par l’opérateur de télécoms Verizon, avait invité tous ses utilisateurs à modifier leurs mots de passe et questions de sécurité en décembre. N’empêche : après cette ultime confession, les points d’interrogation et d’exclamation ne cessent de s’accumuler.
Comme dans le cas d’Equifax, l’entreprise de rapports de crédit qui a reconnu que les données relatives à quelque 145 millions de comptes de ses clients ont été semées à tous vents cette année, c’est le cœur du patrimoine de Yahoo qui a été ainsi dilapidé et la confiance de ses utilisateurs ébranlée. Cela reste le hack le plus important jamais enregistré, le second revenant aussi à Yahoo dont 500 millions de comptes avaient
(à nouveau !) été compromis fin 2014, d’après une communication en date de septembre 2016. Pour faire mieux, il faudrait que Google, Facebook, Apple, Amazon ou, côté institutionnel, le fisc américain soient piratés et des parts significatives de leurs bases de données subtilisées.
« Suite à l’acquisition de Yahoo par Verizon, et durant l’intégration, l’entreprise a récemment obtenu de nouvelles informations et pense désormais, suite à une investigation assistée par des experts légaux externes, que tous les comptes d’utilisateurs Yahoo ont été affectés par le vol d’août 2013 », écrit Yahoo dans un communiqué dont on sent que chaque mot a été pesé au trébuchet en prévision de futures actions en justice. Il est difficile de croire qu’une fois le pot aux roses découvert, il ait fallu tout ce temps pour se persuader que les pirates avaient eu accès à l’ensemble des comptes gérés par l’entreprise.
Pour chaque utilisateur, ce sont son nom, ses adresses mail, ses numéros de téléphone, sa date de naissance et des hashes MD5 de leurs mots de passe, jugés faciles à craquer, qui ont été dérobés, ainsi que des questions de sécurité, partiellement cryptées, et les réponses correspondantes.
La marque Yahoo, malmenée depuis des années, va-t-elle se relever d’un tel fiasco ? Créé par deux étudiants de Stanford en janvier 1994, ce qui était à l’origine un index hiérarchisé de sites web était devenu au fil des ans un des points névralgiques du Net, séduisant les internautes par de nouveaux services, dont les révolutionnaires comptes email gratuits utilisables depuis un navigateur. À la fin des années 90, Yahoo était même le moteur de recherche favori des internautes. Victime de l’explosion de la bulle Internet au début des années 2000, l’action de Yahoo s’était écroulée en 2001. L’entreprise ne s’en est jamais vraiment relevée, abandonnant la fonctionnalité de recherche à Google, cédant des parts de marché, changeant à plusieurs reprises de CEO, procédant à des restructurations et faisant l’objet à intervalles réguliers de rumeurs de reprise.
Saura-t-on un jour qui sont les hackers ayant opéré le plus grand hold-up informatique de l’histoire ? En mars 2017, on apprenait que les autorités américaines avaient accusé deux membres des services de renseignements russes, Dmitri Dokoutchaev et Igor Souchtchine, et deux autres personnes, un hacker russe et un Kazakh établi au Canada (le seul arrêté dans cette affaire), d’avoir organisé le piratage de 2014 portant sur un demi-milliard de comptes, avec force détails sur l’utilisation qui avait été faite des données récupérées, notamment pour espionner des officiels américains et russes. Rien n’a en revanche filtré sur les auteurs du hack historique de 2013.