Les autorités américaines ont infligé à Yahoo une amende de 35 millions de dollars pour ne pas avoir signalé l’existence d’un piratage qui a frappé le service fin 2014. À l’époque, 500 millions de comptes avaient été compromis.

35 millions de dollars. Tel est le montant de la pénalité qui a été infligée à Yahoo, qui a été rebaptisée en Altaba, par l’autorité de régulation des marchés financiers aux USA. La sanction, annoncée mardi 24 avril, a été prise « pour solder les accusations selon lesquelles elle a induit les investisseurs en erreur en omettant de divulguer l’une des plus importantes atteintes à la protection des données au monde ».

Le régulateur américain fait ici référence au piratage de l’infrastructure technique du portail web, fin 2014. Lorsque cet accès frauduleux a été communiqué au public, au mois de septembre 2016, l’entreprise américaine expliquait qu’une fuite de données concernant plus de 500 millions de comptes avait eu lieu. D’après Yahoo, cette opération a été rendue possible grâce au soutien d’un État.

yahoo-logo

CC Scott Schiller

« Bien que les éléments relatifs à l’infraction aient été communiqués aux membres de la haute direction et du service juridique de Yahoo, Yahoo n’a pas enquêté correctement sur les circonstances de la violation et n’a pas examiné de manière adéquate si la violation devait être divulguée aux investisseurs », dit l’autorité. C’est pour cette raison que certains de ces investisseurs ont poursuivi Yahoo.

Ce n’est que lorsque Yahoo a commencé à intéresser l’opérateur américain Verizon, dans le cadre d’un rachat alors estimé à 4,8 milliards de dollars, finalement ramené à la suite de ces révélations à 4,48 milliards de dollars pour faire passer la pilule, que la divulgation sur le piratage a eu lieu (un autre, survenu en 2013 et bien plus grave car il a concerné tous les comptes, sera annoncé quelques mois plus tard).

Notification en cas d’incident

En matière de divulgation à la suite d’un piratage, Yahoo n’est pas la seule entreprise à avoir fauté. Dans le cas du piratage de la société Uber, révélé fin novembre 2017, on apprenait que les données de 57 millions de clients avaient été dérobées, dont celles de 1,4 million de Français. Il était alors apparu que le spécialiste de la mise en contact du public avec des chauffeurs proposant un service de transport était resté muet.

Ce problème est pris en compte dans le Règlement général sur la protection des données, qui entre en application le 25 mai prochain. Des articles encadrent un droit d’information en cas de piratage de données, au moins à l’égard des autorités de protection, comme la Cnil en France. La notification aux particuliers est aussi évoqué, mais elle est en option car elle plusieurs paramètres doivent être pris en compte.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.