Décidément, Yahoo aura bien du mal à regagner la confiance des
internautes et après la découverte d'une attaque de grande ampleur sur
ses serveurs la société a répondu favorablement aux demandes de la NSA
pour scanner les emails des utilisateurs.
La société Yahoo est au coeur d'une polémique particulièrement grave puisque selon une dépêche de Reuters,
sur demande des agences de renseignement aux Etats-Unis, la société a
conçu un logiciel capable de scanner les emails de plusieurs centaines
de millions de comptes à la recherche de mots-clés spécifiques.
Plus précisément, l'ensemble des messages étaient passés au crible en
temps réel et non pas seulement d'anciens emails archivés. La requête
portait sur une chaine de caractères encore inconnue à ce jour mais qui
aurait pu aider les autorités à obtenir des informations sur les
organisations terroristes. Interrogée sur le sujet, la société ne dément
pas et se contente d'affirmer qu'elle respecte les lois des Etats-Unis.
Selon un ancien employé, c'est la PDG Marissa Mayer elle-même qui aurait
décidé d'obéir à cette requête gouvernementale. C'est aussi ce qui a
provoqué le départ du directeur de la sécurité Alex Stamos en juin 2015.
Pour mémoire, l'homme avait notamment communiqué sur une extension pour
Chrome et Firefox permettant de chiffrer les messages. Il travaille
désormais chez Facebook.
Rappelons que le scan des emails à des fins publicitaire a été introduit
en mars 2014. On ne sait pour l'heure s'il s'agit d'une extension à ce
dispositif ou un outil totalement différent.
Il y a deux ans, Yahoo avait révélé des documents
selon lesquels en 2007 et 2008 elle s'est opposée aux demandes du FISC
(ou FISA Court), la cour fédérale américaine chargés de superviser les
mandats de surveillance pour le FBI ou la NSA. Les autorités ont fini
par menacer d'infliger une amende quotidienne de 250 000 dollars à la
société si cette dernière refusait de respecter les injonctions de la
cour. Yahoo! expliquait que cette pression l'a obligé à se soumettre à
ces demandes. La firme a continué ses procédures d'appel et a finalement
perdu devant la cour FISA.
L'affaire survient quelques jours après une révélation sur une attaque
de grande envergure sur les serveurs de Yahoo en 2014. Selon la firme de
Sunnyvale, plus de 500 millions de comptes seraient affectés, un
chiffre démenti par un ancien employé de Yahoo qui table plutôt entre 1
et 3 milliards de comptes.
De leurs côtés Microsoft et Google ont réagi face à ces révélations. Le
géant de la recherche affirme n'avoir jamais reçu de telle requête. Un
porte-parole affirme que la société n'aurait jamais accepté de mettre en
place un tel scan. Chez Microsoft, on affirme également n'avoir jamais
participé à un tel programme. La firme de Redmond n'a toutefois pas
précisé si la NSA lui a déjà demandé de mettre en oeuvre un tel
dispositif.
L'entreprise américaine a
été la victime d'une attaque informatique pilotée par «une entité liée à
un État». Yahoo! est l'un des sites les plus visités au monde.
Yahoo!
a bien été victime d'un large piratage. Le site américain a publié
jeudi soir un communiqué confirmant les informations du site Recode. «Nous pouvons confirmer que des informations de nos utilisateurs ont été dérobées fin 2014», explique l'entreprise dans un communiqué.
«Nous pensons qu'il s'agit d'une attaque provenant d'une entité liée à
un État.» Plus de 500 millions de comptes ont été compromis. Les
utilisateurs touchés seront prévenus par Yahoo! Tous sont d'ores et déjà
invités à changer de mot de passe. L'entreprise collabore avec les
autorités américaines afin d'enquêter sur cette attaque.
«Les
informations dérobées sont des noms, des emails, des numéros de
téléphone, des dates de naissance, des mots de passe hachés, des
questions de sécurité et leur réponse», précise l'entreprise. «L'enquête
ne prouve pas que des mots de passe en clair ou des informations
bancaires auraient été dérobés.» Piratage de Yahoo : un Canadien parmi les 4 accusés;
L'accusé canadien se nomme Karim Baratov. L'homme de 22 ans détient
la double citoyenneté canadienne et kazakhe. À la demande des autorités
américaines, il a été arrêté mardi à Hamilton par l'escouade des
fugitifs de la police de Toronto avant d'être remis à la GRC.
Selon les autorités américaines, deux des autres accusés
appartiennent au Service fédéral de sécurité de la Fédération de Russie
(FSB), le principal successeur du KGB soviétique.
Ces accusations font suite à une attaque informatique lancée contre Yahoo en 2014.
L'un des pirates allégués, Alexsey Alexseyevich Belan, se serait par
ailleurs servi des informations volées pour s'enrichir en s'emparant de
numéros de cartes de crédit et de cartes-cadeaux. Il est l'un des
pirates informatiques les plus recherchés de la planète.
Même si l'attaque a été perpétrée en 2014, ce n'est qu'en septembre
2016 que Yahoo a commencé à informer au moins 500 millions d'abonnés que
leurs courriels, dates de naissance, réponses aux questions de sécurité
et autres données personnelles avaient possiblement été volés. Trois
mois plus tard, Yahoo a révélé qu'une autre attaque, celle-là perpétrée
en 2013, avait touché un milliard de comptes, dont certains qui ont de nouveau été ciblés en 2014.
Ces failles dans la sécurité de Yahoo ont nui à la perception des
investisseurs lors du rachat de ses activités Internet et de messagerie
par l'opérateur téléphonique Verizon. La vente s'est conclue,
mais Yahoo a dû consentir à offrir une ristourne de 471 millions de
dollars canadiens à l'acheteur sur l'offre initiale de 6,5 milliards de
dollars.Selon des documents de cour citée par le quotidien torontois, le jeune
homme de 22 ans arrêté mardi à Ancaster, en Ontario, offrait ses
services de pirate informatique en ligne(surement dans le Deepweb) lorsqu'il a été recruté par
courriel par un officier des services de sécurité de la Russie.Karim Baratov a été contacté par l'agent Dmitry Dokuchaev à la fin de
2014. Cet agent fait partie d'un groupe de quatre experts en
cybersécurité russes qui ont été arrêtés et accusés de trahison en
Russie, en décembre dernier.Karim Baratov aurait été recruté pour obtenir les codes d'accès de 80
comptes appartenant à des victimes du piratage massif d'un demi-milliard
de comptes Yahoo en 2014.La demande d'extradition formulée par le gouvernement américain permet
également d'apprendre que la Gendarmerie royale du Canada(GRC) a placé sous
surveillance pendant au moins six jours Karim Baratov avant son
arrestation(pas beaucoup pour un problême de 2014).
Usurpation d'identité
Recode affirmait
qu'un fichier, vendu 1800 dollars au marché noir, contenait des
identifiants, des mots de passe facilement déchiffrables et des
informations personnelles telles que les adresses email alternatives et
la date de naissance. Le site Motherboard avait le premier à évoquer ce piratage en août,
parlant alors de 200 millions de comptes compromis, mais Yahoo! ne
s'était pas prononcé alors sur son authenticité. Ces données provenaient
supposément d'un piratage commis en 2012. Yahoo! évoque un vol datant
de fin 2014.
Ce type de piratage, même s'il est ancien, peut
laisser craindre d'importantes répercussions. Yahoo! demeure l'un des
sites les plus visités au monde, notamment grâce à son service de
messagerie électronique. Yahoo! n'obligeant pas à changer de mot de
passe régulièrement, une bonne part des informations contenues dans ce
fichier devraient toujours être valides et permettre de pénétrer dans
les comptes. Les pirates peuvent aussi tenter de s'introduire dans les
comptes Facebook, Gmail ou Outlook des personnes qui utiliseraient le
même mot de passe sur tous les sites.
Ces intrusions permettent
de mener des campagnes de «phishing» en usurpant l'identité de la
victime, de dérober des données de paiement ou d'autres informations
confidentielles. Pour cette raison, il est recommandé de ne pas utiliser
le même mot de passe sur tous les sites et de préférer des combinaisons
longues, plus difficilement déchiffrables.
LinkedIn, Dropbox, Last.fm et MySpace touchés
Au
cours de ces dernières années, plusieurs piratages massifs ont été
confirmés. 2012 fut par exemple une année noire pour la sécurité
informatique et le vol de données. Quelque 117 millions de comptes LinkedIn,
68 millions de mots de passe Dropbox et 43 millions d'identifiants
Last.fm ont ainsi été dérobés cette année-là. En 2013, ce sont 417
millions de comptes MySpace qui ont été compromis. Généralement, les
fichiers sont exploités une première fois par les pirates avant d'être
mis en vente.
Ces révélations interviennent alors que Yahoo! est
engagé dans un processus de revente à l'opérateur téléphonique américain
Verizon, pour 4,8 milliards de dollars. «Les actionnaires ont des
raisons de redoute que cela conduise à une révision du prix de la
transaction», écrit Recode. Les deux groupes ont acté en juillet ce
rachat, qui doit encore être validé par les autorités de régulation.
Le scandale NSA / SnowdenGate risque de continuer à faire les choux gras de la presse. L’un des plus gros scandales d’espionnage de masse vient de se voir amplifier par le journal britannique The Guardian. Le grand public est inquiet concernant la protection de sa vie privée, il n’est pas prêt d’être rassuré. Alors queGoogle vient d’annoncer renforcer sa sécurité concernant les applications, une découverte d’une toute autre ampleur vient d’avoir lieu. La NSA et le GCHQ (service de renseignement électronique britannique) ont espionné les utilisateurs Yahoo via leur webcam.
La NSA et le GCHQ espionnaient les utilisateurs de Yahoo via leur webcam !
Encore une fois révélée par les documents délivrés par Edward Snowden, cette surveillance a eu lieu entre 2008 et 2012. Les services secrets américains et britanniques ont intercepté des images provenant de conversations vidéo entre utilisateurs Yahoo. 1,8 million d’utilisateurs, à raison d’une image toutes les cinq minutes, ont été concernés. Baptisé « Optic Nerve » (nerf optique), ce programme aurait récolté ces images en vrac dont une bonne partie était à caractère érotique, voire pornographique (7,1% pour être exact).
L’objectif du programme était, selon le GCHQ, de constituer une base de données de visagesafin de faciliter la reconnaissance faciale automatique et de détecter les différents comptes utilisés par une seule et même personne. Yahoo de son côté a fermement condamné cet agissement : « c’est un niveau sans précédent de violation de la vie privée de nos utilisateurs, ce qui est complètement inacceptable. Nous n’étions pas au courant et nous ne tolérons pas (cette activité). Nous appelons les gouvernements du monde entier à réformer la législation sur la surveillance ».
Avant de poursuivre : « Nous nous engageons à préserver la confiance et la sécurité de nos utilisateurs, en poursuivant nos efforts visant à élargir le chiffrement sur l’ensemble de nos services. » Et dire qu’Edward Snowden n’aurait eu besoin que de quelques mots de passe pour récupérer ces documents. Retrouvez notre article concernant le scandale NSA. Comment protégez-vous votre vie privée ?
Yahoo! ferme 12 services en ligne, dont le mythique moteur AltaVista
Le groupe américain poursuit son recentrage et fermera douze services durant l'été. Parmi eux, le moteur de recherche AltaVista, né en 1995.
Les méthodes de Marissa Mayer, PDG de Yahoo!, ne font pas que des heureux. Elle a mis fin au télétravailet a vu partir de nombreux cadres de l’entreprise. Mais elle poursuit coûte que coûte le recentrage de la société en éliminant les produits non rentables. Ainsi Yahoo! a annoncé, le 28 juin 2013, sur son blog la fermeture de douze services en ligne dans les jours et mois à venir.
Sur son blog, Yahoo! donne quelques conseils pour remplacer chacun des services concernés car les premiers ont cessé d’exister dès le 28 juin, comme le plug-in WebPlayer qui permettait de créer des playlists musicales. Les autres disparaîtront progressivement jusqu’à la fin du mois de septembre prochain. Parmi ces services, un plus connu, le moteur de recherche Altavista, fermera ses portes le 8 juillet.
Imaginé par Paul Flaherty et développé par Louis Monier et Michael Burrows en 1995, AltaVista fut le premier véritable moteur de recherche du Web. Ce fut l’un des premiers à exister en plusieurs langues (la version française date de l'an 2000) et à proposer la recherche d’images, de vidéos ou de fichiers audio. Yahoo! en fit l’acquisition en 2004. Aujourd’hui, il n’en reste plus grand-chose : un logo associé à la page de recherche de Yahoo!.
Au début du printemps, l’entreprise avait déjà fait un premier ménage dans ses services et fermé sept d’entre eux.
