Comptes utilisateurs compromis : Yahoo savait depuis longtemps
Le groupe de services en ligne assure avoir identifié l’intrusion sur son infrastructure fin 2014. Mais il cherche encore à mesurer l’étendue des connaissances sur l’incident à l’époque.
Dans une déclaration au gendarme américain des marchés boursiers, la SEC, Yahoo indique qu’il savait, dès la fin 2014, qu’une intrusion avait eu lieu sur son infrastructure : « l’entreprise a identifié qu’un acteur soutenu par un état avait eu accès à son réseau fin 2014 ». Le 23 septembre dernier, Bob Lord, RSSI de Yahoo, a reconnu publiquement que les données des comptes d’au moins 500 millions de ses utilisateurs lui avaient été dérobées à cette période.
Dans sa déclaration, le fournisseur de services Web explique avoir déclenché une enquête, avec l’aide d’un prestataire spécialisé, à la suite des déclarations d’un pirate revendiquant, fin juillet, avoir obtenu des données d’utilisateurs. Si Yahoo n’a pas pu confirmer ces affirmations, il a toutefois « intensifié un examen plus étendu de la sécurité » de son réseau et de ses données, jusqu’à se pencher de plus près sur l’incident de la fin 2014. C’est à l’issue de cette enquête qu’il a décidé de rendre l’affaire publique. Mais qui savait quoi et quand ?
Ces questions sont toujours en attente de réponse : « un comité indépendant du conseil d’administration, assisté par un conseil juridique indépendant et un expert en criminalistique, enquête, entre autres, sur l’étendue de la connaissance [de l’incident] au sein de l’entreprise en 2014 » ainsi que sur les mesures de sécurité en place.
Avec cette déclaration, Yahoo reste sur la ligne discutée, notamment par InfoArmor, de l’acteur malveillant soutenu par un état. Les pratiques de sécurité du fournisseur de services Web ont également été questionnées à plusieurs reprises.
Si ces nouvelles révélations risquent d’alimenter les spéculations sur le rachat de Yahoo par Verizon, le fournisseur de services Web déclare que « l’incident de sécurité n’a pas eu d’effet négatif concret sur son activité, son cash flow, sa situation financière, ou les résultats opérationnels du trimestre échu au 30 septembre ». Toutefois, Yahoo indique avoir déjà dépensé 1 M$ dans l’enquête sur l’incident de sécurité dont il a été victime et précise que 23 procédures ont été lancées à son encontre suite à celui-ci. Il précise enfin ne pas disposer de couverture assurantielle spécifique aux risques liés à la cybersécurité.