En 2015, Yahoo aurait accepté d’installer sur ses serveurs un logiciel espion à la demande des services de renseignements américains.
Selon Reuters, l’entreprise aurait ainsi analysé les courriels de millions d’utilisateurs à la recherche de chaînes de caractères bien précises. L’agence tient cette information de deux anciens employés de Yahoo et d’une troisième personne également au courant de cette pratique.
«Yahoo est une entreprise respectueuse de la loi et elle se plie aux lois des États-Unis.»
On ignore exactement quel type d’informations recherchaient les autorités. Il y a fort à parier toutefois que si la NSA a exigé de Yahoo l’installation d’un tel logiciel espion, la même requête a certainement été transmise auprès de ses concurrents, dont Google (Gmail) et Microsoft (Hotmail). Ces entreprises ont d’ailleurs séparément déclaré mardi qu’ils n’avaient jamais effectué de telles analyses sur les courriels de leurs utilisateurs.
À noter que Google a nié avoir reçu une telle demande de la part des services de sécurité nationale, alors que Microsoft a tout simplement refusé de commenter.
«Yahoo est une entreprise respectueuse de la loi et elle se plie aux lois des États-Unis», a déclaré l’entreprise après avoir été interrogée par Reuters.
Contrairement à ce que d’autres médias ont rapporté, ce ne sont pas ici des aveux, mais bien une déclaration judicieusement construite qui n’affirme ni n’infirme quoi que ce soit.
La nouvelle se présente néanmoins comme une nouvelle tuile qui tombe sur Yahoo, alors que le pionnier du Web cherche à vendre le cœur de ses activités au géant américain des télécommunications Verizon. Rappelons qu’il y a moins de deux semaines, l’entreprise confirmait pour la première fois avoir été victime en 2014 d’une cyberintrusion ayant compromis la confidentialité de 500 millions de comptes.
Les regards se tournent vers Marissa Mayer
Quelques heures après la parution de l’article de Reuters, le blogue Business Insider a publié un article portant sur la culture du secret chez Yahoo.
Selon un ancien dirigeant de l’entreprise, la PDG Marissa Mayer aurait volontairement laissé son équipe de sécurité dans le noir en omettant de renseigner ses membres sur des faits importants. Parmi ces faits, Mayer aurait demandé à ses propres ingénieurs d’installer le logiciel espion demandé par la NSA à l’insu de ses spécialistes de sécurité.
Ce serait d’ailleurs en voulant tester la présence de vulnérabilités sur les serveurs de Yahoo qu’Alex Stamos, ancien responsable de la sécurité des systèmes d’information, aurait découvert le logiciel en question. Croyant d’abord que le logiciel était d’origine pirate, il aurait démissionné en signe de protestation en apprenant que sa présence était volontaire et secrète.
Cette histoire vient compléter ce qui avait été rapporté à propos de Stamos par des personnes familières avec le dossier au moment de la nouvelle concernant la cyberintrusion de 2014.
Qui plus est, toujours selon cette même source, cet incident ne serait pas le premier du genre à illustrer comment la sécurité était gérée chez Yahoo.
Un an plus tôt, un membre de l’équipe de sécurité a révélé que le service juridique de Yahoo avait demandé d’enquêter sur la cyberintrusion de 2014, avec l’ordre de ne rien dévoiler à Justin Somaini, celui qui était responsable de la sécurité des systèmes d’information avant l’arrivée de Stamos.
Alors qu’il peut arriver que des cadres supérieurs soient tenus à l’écart de telles enquêtes lorsqu’ils sont suspectés d’être impliqués dans l’incident, la raison pour laquelle Somaini n’aurait pas été informé était d’ordre budgétaire. Mayer ne voulait pas que l’incident de piratage soit utilisé comme une justification pour augmenter le budget attribué à la sécurité de l’entreprise.