Le groupe internet Yahoo! a annoncé jeudi que 500 millions de comptes de ses utilisateurs ont été piratés « fin 2014 » par une entité probablement liée à un Etat. La révélation pourrait avoir des conséquences sur le rachat par Verizon conclu cet été.

Yahoo! a annoncé jeudi avoir été l'objet d'une fuite massive de données. Au moins 500 millions de comptes ont été piratés par « un acteur sponsorisé par un Etat » à la fin de l'année 2014. Les données volées comprennent des adresses e-mail, des mots de passe, des numéros de téléphone, des dates de naissance, et dans certains cas, des questions et des réponses de sécurité, prévues pour vérifier l'identité de l'utilisateur. Les données bancaires des utilisateurs n'ont pas été affectées, assure Yahoo!, qui dit travailler sur l'enquête en étroite collaboration avec les autorités américaines.

La société californienne a indiqué avoir prévenu les utilisateurs concernés et pris les mesures nécessaires pour sécuriser les comptes, en demandant notamment aux personnes de changer leurs mots de passe et en invalidant certaines questions de sécurité.

L'information d'un piratage avait été révélée dans la nuit de mercredi par le site « Recode », qui évoquait les agissements d'un hacker, surnommé Peace. Celui-ci avait déclaré en août mettre en vente sur TheRealDeal, une plate-forme de vente illégale du darknet, les données de 200 millions de comptes Yahoo! pour trois bitcoins, soit l'équivalent de 1.860 dollars. « Peace » n'est pas inconnu dans le milieu : sa liste de faits d'arme est déjà longue.

En mai, le hacker, qui se dit russe, avait révélé le piratage de plus de 100 millions de comptes d'utilisateurs de LinkedIn , obligeant le réseau social professionnel à admettre avoir sous-estimé le problème en 2012, quand il avait évoqué un chiffre de 6,5 millions de comptes.

Durant le même mois, il avait annoncé la vente de données de 360 millions de comptes Myspace , et de 65 millions du site Tumblr, propriété de Yahoo!. En juin, il y a ajouté 100 millions de comptes VK.com, l'équivalent russe de Facebook, et 33 millions de comptes Twitter....

Après la publication de cette information cet été, Yahoo! avait reconnu être au courant du sujet et enquêter dessus, sans la confirmer ou la démentir pour autant.

Verizon s'offre les activités historiques de Yahoo!

L'ampleur de cette faille pourrait avoir des conséquences sur la revente des activités principales de Yahoo! (moteur de recherche, régie publicitaire, sites d'information) à l'opérateur télécoms américain Verizon.

L'opération a été scellée cet été pour 4,8 milliards de dollars mais devrait s'achever au début de l'année prochaine seulement. Les deux sociétés sont encore en attente de l'approbation d'un certain nombre d'organes de régulation, ainsi que des actionnaires. Le prix pourrait être revu à la baisse suite à ces révélations, estime « Recode ».

C'est surtout le manque de réactivité de la société, qui n'a pas demandé à ses utilisateurs de changer leurs mots de passe, une pratique pourtant recommandée même en cas de simples soupçons, qui pose problème. Car le prix de vente des données sur le darknet, en-dessous de 2.000 dollars, et la date des faits, laissent penser que les informations en elles-mêmes ne sont plus d'une grande valeur. Dans l'échantillon de 5.000 comptes obtenus par « Motherboard » en août, un grand nombre n'étaient plus actifs.

Nouvel échec pour Marissa Mayer

La révélation est en tout cas un nouvel échec pour Marissa Mayer , qui n'a pas réussi à redonner au portail et moteur de recherche le lustre de ses débuts, après sa nomination au poste de PDG en 2012, et qui a dû se résoudre à revendre le coeur historique de la société à un prix très éloigné des 125 milliards de dollars de valorisation qu'a pu atteindre Yahoo! en pleine bulle Internet.

Créé en 1994 par deux étudiants de Stanford, le moteur de recherche a perdu du terrain après l'arrivée de Google. La société a ensuite fait une série de mauvais choix, ratant de grosses acquisitions comme Facebook et YouTube, et s'éparpillant dans de trop nombreux domaines.