Le voile se lève peu à peu sur les secrets qui entourent l’affaire de piratage des 500 millions de comptes Yahoo. Révélé au grand jour courant septembre, ce piratage massif – surnommé par certains “hack du siècle” – a coûté cher à la firme gérée par Marissa Mayer, alors en instance de rachat par le groupe Verizon Communication.
Un rachat des plus incertains à l’heure actuelle, Verizon ayant indiqué préférer attendre avant de faire des démarches supplémentaires concernant une éventuelle reprise. Une décision en tout point compréhensible compte tenu du montant de cette fameuse transaction, toujours fixé à 4.8 milliards de dollars.
Le “Hack du siècle” est donc en passe de livrer ses secrets – du moins certains – suite à une enquête diligentée par Yahoo, dont les premières conclusions ont été communiquées au SEC (Securities and Exchange Commission), le “gendarme de la Bourse” américain.
Un piratage rendu possible grâce à des cookies
C’est ce que dévoile l’actuel compte rendu de Yahoo au SEC, les pirates auraient “créé des cookies qui pourraient avoir permis aux hackers de contourner les mots de passe pour accéder à certains comptes d’utilisateurs ou informations sur les comptes”.
En outre la firme soutient qu’un tel piratage a été réalisé par des hackers “soutenus par un État”, sans pour autant préciser lequel.
Yahoo avance également sur ce rapport que certains employés étaient au courant du hack, et ce dès la fin d’année 2014, soit juste après les faits.
Des salariés au courant du piratage dès fin 2014
Du côté de la direction, personne n’est pour l’heure pointé du doigt, Marissa Mayer n’ayant (selon le New York Times) été informée de la situation qu’à partir de Juillet 2016. Il est cependant difficile de croire qu’aucun responsable n’ait été mis au courant des faits entre temps. On peut donc imaginer que de nouvelles révélations sont à venir.
Pour ce qui est du projet de rachat par Verizon les choses sont au point mort depuis quelques semaines, Craig Silliman (responsable du département juridique de Verizon) ayant indiqué avoir “des raisons de penser que l’impact de la cyberattaque est important”.