En 2013 puis en 2014, Yahoo! a subi deux attaques informatiques successives. / QUENTIN HUGON / « LE MONDE »

Deux cent cinquante mille livres – soit environ 280 000 euros –, c’est le montant de l’amende infligée le 21 mai dernier à Altaba (ex-Yahoo !) par l’Information Commissioner’s Office (ICO), le régulateur britannique en charge de la protection des données. L’organisme, qui a communiqué à ce sujet, mardi 12 juin, estime que le groupe spécialisé dans les services Internet a échoué à protéger 500 millions de comptes utilisateurs, dont 500 000 ouverts depuis le Royaume-Uni, compromis par une attaque informatique en 2014 visant Yahoo! Elle lui reproche également de ne pas avoir suffisamment bien protégé les informations personnelles qu’elle avait en sa possession.

Début 2014, Yahoo! avait mis en place plusieurs mesures destinées à renforcer la protection de ses utilisateurs. Elles n’étaient, pour l’ICO, pas suffisantes. L’équivalent britannique de la Commission nationale de l’informatique et des libertés (CNIL) explique dans son communiqué : « Yahoo! n’a pas pris les mesures techniques et organisationnelles appropriées pour protéger les données de ses clients d’une possible fuite (). [Elle] a échoué à mettre en place (…) des standards de protection des données adaptés. » Les employés, par exemple, avaient accès aux données des clients selon l’ICO.

Des données personnelles dérobées

Yahoo!, renommée « Altaba » après son rachat partiel en 2017 par Verizon, avait annoncé avoir fait l’objet de ce piratage en septembre 2016. Trois mois plus tard, elle révélait une autre attaque informatique plus ancienne, qui avait, quant à elle, affecté en 2013 l’ensemble des trois milliards de comptes utilisateurs.

Les pirates à l’origine de l’attaque de 2014 avaient dérobé des informations personnelles, telles que les noms, dates de naissance, adresses e-mails, numéros de téléphone et mots de passe, expliquait Yahoo! dans un communiqué. Selon le groupe, ils étaient « probablement liés à un Etat ». En mars 2017, quatre personnes ont été inculpées dans le cadre de l’affaire. Deux d’entre elles travaillaient pour le FSB, le service de renseignement russe. Un troisième, un hackeur canadien d’origine kazakhe, a plaidé coupable en novembre 2017, et écopé d’une peine de cinq ans d’emprisonnement et de 210 000 euros d’amende.

En avril, Yahoo! avait déjà été condamnée par le gendarme américain de la Bourse à une amende de 35 millions de dollars. Il lui était, cette fois, reproché d’avoir dissimulé jusqu’en 2016 le piratage de 2014.