Yahoo savait depuis deux ans que ses serveurs avaient été attaqués

Yahoo a eu fort à faire dans la communication pour compenser le déluge de mauvaises nouvelles des derniers mois. Il faudra en compter une de plus : elle vient d’avouer avoir su très tôt qu’elle avait été piratée en 2014. Cette fameuse attaque qui a touché un demi-milliard de comptes.

Quand Yahoo n’a plus eu d’autre choix que de confirmer la brèche de sécurité dans ses systèmes, la société a parlé de 500 millions de comptes. On savait cependant que les informations dérobées n’étaient pas récentes. Tout portait à croire qu’elles avaient au moins deux ans, et cette chronologie a elle aussi été confirmée : l’attaque datait de 2014.

Yahoo avait cependant indiqué n’avoir été mis au courant que sur le tard, en fait peu de temps avant de donner des informations sur l’ampleur de l’attaque. Ce n’était pour autant pas vrai. Dans un document remis à la SEC (Securities and Exchange Commission), l’éditeur a indiqué qu’un groupe d’experts s’était penché sur l’attaque afin de savoir si des employés avaient été au courant de la fuite dans les premiers temps qui l’avaient suivi, faisant apparaître des éléments nouveaux.

Des signes clairs d'une attaque dès fin 2014

Dans le document, Yahoo indique en fait que la première enquête n’avait pas permis de constater de fuite, et qu’elle avait donc dû plonger plus loin pour trouver des indices. C’est sur la base de cette investigation plus poussée qu’elle a mis la main sur des traces datant de fin 2014. La société indique que les experts enquêtent même sur certaines preuves, notamment des cookies qui auraient pu induire un contournement des mots de passe.

Cette communication avec la SEC montre que Yahoo avait en main toutes les cartes pour comprendre ce qui s’était passé. La firme indique par exemple qu’elle a rapidement trouvé des signes évidents d’attaque par un groupe soutenu par un état. Le rapport indique même que Yahoo sait de quel groupe il s’agit.

Des informations non reliées ?

S’agit-il d’une « erreur de bonne foi » ? L’éditeur semble avoir rapidement constaté l’attaque, mais pas la fuite de données en elle-même. Ce n’est qu’après les premières informations en août, quand un pirate du nom de Peace a indiqué posséder les données de 200 millions de comptes, que le rapprochement aurait été fait. Comme pour les autres fuites (LinkedIn, Tumblr…), les informations semblaient en effet avoir plusieurs années.

Quoi qu’il en soit, Yahoo collabore avec tous les gouvernements et agences impliqués dans les enquêtes. La firme indique dans le document qu’elle fait actuellement face à 23 class actions (recours collectifs), montrant l’ampleur de la crise. Verizon, qui a annoncé sa volonté de racheter Yahoo, a d'ailleurs indiqué vouloir revenir à la table des négociations, l'accord étant désormais en danger.