Yahoo en sait-il plus qu’il ne le laisse entendre à propos du piratage qui a entraîné le vol d’informations rattachées à au moins un demi-milliard de comptes d’utilisateurs ?
On est tenté de répondre par l’affirmative en consultant le formulaire 10-Q remis la semaine passée à la SEC (Securities and Exchange Commission, autorité de contrôle et de régulation des marchés financiers aux États-Unis).
À plusieurs reprises dans ce document un temps passé sous les radars vu sa publication le jour de l’élection présidentielle américaine, il est fait mention dudit « incident de sécurité ».
Le ton a changé depuis l’officialisation du hack le 22 septembre dernier : alors qu’à l’époque, Yahoo disait avoir découvert la faille « lors d’une récente enquête », le groupe Internet pionnier affirme désormais avoir eu connaissance, dès fin 2014, d’une intrusion dans son réseau, attribuée à « un agent piloté par un État ».
La première formulation, en page 30 du 10-Q, est un peu malheureuse. Mais la situation dans son ensemble s’éclaircit un peu plus. On apprend notamment que ledit « agent » a probablement créé des cookies qui lui ont permis d’accéder de manière récurrente à certaines données sans mot de passe.
Pas de nouveautés concernant les données en question : on reste sur des noms, des adresses e-mail, des numéros de téléphone, des dates de naissance, des mots de passé chiffrés (la majorité avec bcrypt), ainsi que des questions de sécurité… pas systématiquement chiffrées.
Yahoo recense 23 actions en justice déposées à son encontre dans le monde, que ce soit par des particuliers, des actionnaires ou des associations. Le groupe californien estime ne pas pouvoir, en l’état, estimer les coûts y afférents, ces procédures n’en étant « qu’à leurs débuts », à l’heure où l’enquête « reste ouverte ».
Dans ce cadre, un panel d’experts indépendants a été commissionné. Comme Recode le souligne néanmoins à l’appui des témoignages de sources internes à Yahoo, la patronne Marissa Mayer et le directeur juridique Ron Bell surveilleraient « de très près » le processus.
La firme a retenu, sur ses comptes du 3e trimestre 2016, des charges d’un million de dollars associées à ce piratage. Assez pour soulever des incertitudes exprimées en page 69 du 10-Q : que Verizon remette en cause l’accord signé fin juillet pour s’emparer des principales activités de Yahoo, dans les services Web.
Le groupe télécoms américain ne souhaiterait plus mettre sur la table les 4,8 millions de dollars qu’il s’était engagé à verser. Il estime que les termes du contrat d’acquisition pourraient lui permettre de renégocier le deal.
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…