Les autorités américaines ont infligé à Yahoo une amende de 35 millions de dollars pour ne pas avoir signalé l’existence d’un piratage qui a frappé le service fin 2014. À l’époque, 500 millions de comptes avaient été compromis.

35 millions de dollars. Tel est le montant de la pénalité qui a été infligée à Yahoo, qui a été rebaptisée en Altaba, par l’autorité de régulation des marchés financiers aux USA. La sanction, annoncée mardi 24 avril, a été prise « pour solder les accusations selon lesquelles elle a induit les investisseurs en erreur en omettant de divulguer l’une des plus importantes atteintes à la protection des données au monde ».

Le régulateur américain fait ici référence au piratage de l’infrastructure technique du portail web, fin 2014. Lorsque cet accès frauduleux a été communiqué au public, au mois de septembre 2016, l’entreprise américaine expliquait qu’une fuite de données concernant plus de 500 millions de comptes avait eu lieu. D’après Yahoo, cette opération a été rendue possible grâce au soutien d’un État.

yahoo-logo

CC Scott Schiller

« Bien que les éléments relatifs à l’infraction aient été communiqués aux membres de la haute direction et du service juridique de Yahoo, Yahoo n’a pas enquêté correctement sur les circonstances de la violation et n’a pas examiné de manière adéquate si la violation devait être divulguée aux investisseurs », dit l’autorité. C’est pour cette raison que certains de ces investisseurs ont poursuivi Yahoo.

Ce n’est que lorsque Yahoo a commencé à intéresser l’opérateur américain Verizon, dans le cadre d’un rachat alors estimé à 4,8 milliards de dollars, finalement ramené à la suite de ces révélations à 4,48 milliards de dollars pour faire passer la pilule, que la divulgation sur le piratage a eu lieu (un autre, survenu en 2013 et bien plus grave car il a concerné tous les comptes, sera annoncé quelques mois plus tard).

Notification en cas d’incident

En matière de divulgation à la suite d’un piratage, Yahoo n’est pas la seule entreprise à avoir fauté. Dans le cas du piratage de la société Uber, révélé fin novembre 2017, on apprenait que les données de 57 millions de clients avaient été dérobées, dont celles de 1,4 million de Français. Il était alors apparu que le spécialiste de la mise en contact du public avec des chauffeurs proposant un service de transport était resté muet.

Ce problème est pris en compte dans le Règlement général sur la protection des données, qui entre en application le 25 mai prochain. Des articles encadrent un droit d’information en cas de piratage de données, au moins à l’égard des autorités de protection, comme la Cnil en France. La notification aux particuliers est aussi évoqué, mais elle est en option car elle plusieurs paramètres doivent être pris en compte.


Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !