Piratage de Yahoo : Pourquoi ? Comment ? Et après ?

Cropped Favicon Economi Matin.jpg
Par Frans Imbert Vier Publié le 30 septembre 2016 à 5h00
Yahoo Piratage Comptes Utilisateurs Internet
500 millionsLes comptes de 500 millions d'utilisateurs Yahoo auraient été piratés

La première question est de comprendre et d'exiger de Yahoo pourquoi cette information parvient deux ans après le délit commis. Mais certains clients ne manqueront de poursuivre Yahoo pour manquement grave et autres qualifications que le droit américain permettra d’user.

Le choix du déni est un choix à double peine qui n’a jamais profité aux auteurs et aux victimes. Yahoo paiera donc une double peine pour son silence et son manquement d’information. Il est par ailleurs probable que ce scandale devienne le “cas“ d’école et plus aucune grande marque ne prendra le risque de cacher sa faute. C’est du moins ce que les agences de communication devraient conseiller à leurs clients.

Comment Yahoo en est arrivé là ?

Yahoo affirme que cette opération a pu être menée avec l'aide une puissance étatique. C’est sans doute faux et c’est un moyen comme un autre de se dédouaner d’une action impossible autrement et ainsi justifier le best effort par défaut. On ne connaît pas de Yahoo un pôle d’activité susceptible d’intéresser un état au point de nuire à une marque comme celle-ci. Ou sinon Yahoo nous cache des choses. Une base secondaire avec un SQL obsolète suffit pour un mineur un peu futé de pénétrer un système. Pour une société cotée en bourse, soumise aux règles Sarbanes-Oxley et qui doit s’appuyer sur ses gouvernances IDS PSS Bancaire pour piloter son infrastructure ; se faire attaquer de la sorte révèle aux premiers abords une faille humaine et aussi une défection notoire des cabinets d’audit et de contrôle. Les Big Four se sentiront visés.

Pour répondre à la question comment ? : C’est tout simplement une faute de gestion opérationnelle que la gouvernance n’aura pas su prévoir. Un laxisme humain lié aussi aux économies engagées pour compenser la perte de la marge opérationnelle à défaut de gagner des nouveaux marchés. Cela arrive à toutes les entreprises, mais ça ne devrait pas arriver à Yahoo. Une réduction des effectifs internes associée à l’amortissement d’un panel de sous-traitant de seconde zone génère forcément un incident à un moment ou un autre. Ces infrastructures sont extrêmement complexes à gérer, elles nécessitent un suivi opérationnel bien supérieur à la gestion d’un avion de ligne et des niveaux d’engagements et de compétences élevés.

Pourquoi Yahoo l’annonce seulement maintenant ?

Verizon est sur le point de racheter Yahoo dont l’action vaut peau de chagrin maintenant. Un petit carré de lobbyiste ayant bien fait son travail à trouver le moyen de tuer sa proie en trouvant ou diffusant l’information et ainsi s’octroyer un portefeuille conséquent sur une marque qui ne vaut désormais plus rien. Que ce soit en crédibilité ou en technologie, la valeur ajoutée qui reste est désormais noyée dans la première et seconde perceptions de la marque.

Si Yahoo avait révélé sa faute, elle n’aurait pas porté atteinte au secteur comme elle le fait aujourd’hui. La politique du “pas vu par pris » est une double peine dont Sony se souvient encore et explique en partie les résultats financiers. C’est le meilleur moyen de perdre la confiance de ses investisseurs en premier, de ses clients ensuite et de tuer l’image de perception d’une marque et d’un secteur comme ici. On conclurait vite à dire que c’est dans le but de nuire à la notoriété et donc la valeur. Mais la justice sera trouver le juste mobile.

Et qu’en est-il de l’utilisateur ?

Qu’il ne soit pas dupe. Un service de messagerie gratuit, cela se paye quelque part. Et dans ce prix il y aussi le risque de volatilité de la donnée. C’est ce que viennent de payer 500 millions d’utilisateurs. Ceux qui ont en plus un compte Yahoo finance attaché ont certainement dû voir, pour certains, des défaillances de comportement et ont dû changer leurs mots de passe à temps. C’est-à-dire il y a deux ans. Mais le mal est fait. Il sera irréparable pour les victimes de violation d’identité numérique, coûteuse pour le secteur qui se voit affaibli d’un crédit de confiance évident, insurmontable pour Yahoo qui va sans doute disparaître et enfin cela rendra service à tous les usagers d’un service Cloud ou hébergé qui s’éduquent ainsi peu à peu à réserver une attitude d’usage plus distante et mature des services qu’ils achètent ou pas.

Cropped Favicon Economi Matin.jpg

Frans Imbert Vier, PDG d’Ubcom, agence d'audit & de conseil en Cybersécurité et Gouvernance des organisations

Laisser un commentaire

* Champs requis