Les fuites Yahoo
Trois milliards de comptes. Deux compromissions. Une acquisition à renégocier en plein milieu lorsque les reçus ont enfin remonté.
En septembre 2016, Yahoo annonce que 500 millions de comptes ont été compromis dans une intrusion de 2014. Trois mois plus tard, l’entreprise révèle une seconde compromission distincte, datant de 2013, touchant un milliard de comptes supplémentaires. Un an après, avec Verizon désormais nouveau propriétaire, le chiffre de 2013 est révisé à la hausse jusqu’à trois milliards — c’est-à-dire tous les comptes Yahoo ayant jamais existé.
Une fuite en pleine vente
Le calendrier est extraordinairement inconfortable. Verizon a accepté mi-2016 d’acquérir l’activité principale de Yahoo pour environ 4,8 milliards de dollars. La divulgation tombe au milieu de la due diligence. Verizon exploite le levier pour rogner environ 350 millions de dollars sur le prix et exiger que Yahoo partage la responsabilité juridique du dossier en cours.
Deux intrusions, deux histoires
Les procureurs américains attribuent la fuite de 2014 à deux officiers du FSB russe et à deux hackers criminels sous contrat, dans un acte d’accusation qui se lit plus comme une note de renseignement que comme un dossier de fraude. L’intrusion de 2013 n’a jamais été attribuée publiquement avec la même assurance ; son ampleur, et le fait que les identifiants volés auraient circulé dans des cercles privés de renseignement avant d’apparaître ailleurs, suggèrent qu’elle a été conservée pendant des années avant sa vente éventuelle.
Ce que la chronique retient
Yahoo est l’exemple canonique du retard de divulgation. La compromission technique était grave mais peu exceptionnelle ; l’histoire durable est institutionnelle. Une entreprise en train de se vendre est restée assise sur la connaissance d’un vol de données historique pendant des années, et ce retard a redessiné la façon dont régulateurs et acquéreurs pensent le reporting des breaches en fusions-acquisitions.