Pour gérer vos consentements :
Categories: Sécurité

Yahoo piraté : la chronologie des événements reste obscure

Yahoo en sait-il plus qu’il ne le laisse entendre à propos du piratage qui a entraîné le vol d’informations rattachées à au moins un demi-milliard de comptes d’utilisateurs ?

On est tenté de répondre par l’affirmative en consultant le formulaire 10-Q remis la semaine passée à la SEC (Securities and Exchange Commission, autorité de contrôle et de régulation des marchés financiers aux États-Unis).

À plusieurs reprises dans ce document un temps passé sous les radars vu sa publication le jour de l’élection présidentielle américaine, il est fait mention dudit « incident de sécurité ».

Le ton a changé depuis l’officialisation du hack le 22 septembre dernier : alors qu’à l’époque, Yahoo disait avoir découvert la faille « lors d’une récente enquête », le groupe Internet pionnier affirme désormais avoir eu connaissance, dès fin 2014, d’une intrusion dans son réseau, attribuée à « un agent piloté par un État ».

La première formulation, en page 30 du 10-Q, est un peu malheureuse. Mais la situation dans son ensemble s’éclaircit un peu plus. On apprend notamment que ledit « agent » a probablement créé des cookies qui lui ont permis d’accéder de manière récurrente à certaines données sans mot de passe.

Pas de nouveautés concernant les données en question : on reste sur des noms, des adresses e-mail, des numéros de téléphone, des dates de naissance, des mots de passé chiffrés (la majorité avec bcrypt), ainsi que des questions de sécurité… pas systématiquement chiffrées.

La question Verizon

Yahoo recense 23 actions en justice déposées à son encontre dans le monde, que ce soit par des particuliers, des actionnaires ou des associations. Le groupe californien estime ne pas pouvoir, en l’état, estimer les coûts y afférents, ces procédures n’en étant « qu’à leurs débuts », à l’heure où l’enquête « reste ouverte ».

Dans ce cadre, un panel d’experts indépendants a été commissionné. Comme Recode le souligne néanmoins à l’appui des témoignages de sources internes à Yahoo, la patronne Marissa Mayer et le directeur juridique Ron Bell surveilleraient « de très près » le processus.

La firme a retenu, sur ses comptes du 3e trimestre 2016, des charges d’un million de dollars associées à ce piratage. Assez pour soulever des incertitudes exprimées en page 69 du 10-Q : que Verizon remette en cause l’accord signé fin juillet pour s’emparer des principales activités de Yahoo, dans les services Web.

Le groupe télécoms américain ne souhaiterait plus mettre sur la table les 4,8 millions de dollars qu’il s’était engagé à verser. Il estime que les termes du contrat d’acquisition pourraient lui permettre de renégocier le deal.

Recent Posts

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 semaines ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

2 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

2 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

3 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

4 mois ago