Décidément, il s’agit d’une période hautement critique pour Yahoo! Après la révélation d’une immense fuite de données des utilisateurs, voila qu’une affaire d’espionnage des courriels pour le compte de la NSA et du FBI fait surface.
L’information vient d’être dévoilée et va faire mal à tous ceux qui se pensait à l’abri en utilisant le vieillissant service mail de Yahoo : À la demande du FBI et de la NSA, Yahoo aurait fouillé l’année dernière des milliers de comptes mails pour y analyser des phrases clefs ou des pièces jointes à l’aide d’un logiciel maison sur-mesure, spécialement conçu dans le plus grand secret… L’affaire a été ébruitée par Reuters après que des personnes ayant été liées à cette initiative d’espionnage aient parlées.
Bien entendu, cette nouvelle fracassante pour la vie privée des utilisateurs implique que le fameux module de chiffrement de bout-en-bout (basé sur OpenPGP) annoncé par Yahoo à l’occasion du Black Hat 2014 à Las Vegas ait été refusé par la direction ! Pour concevoir cette solution de chiffrement de bout en bout, Yahoo avait recruté l’experte en chiffrement Yan Zhu, qui avait participé à créer HTTPS Everywhere pour l’Electronic Frontier Foundation (EFF). Or celle-ci a quitté Yahoo en novembre 2015, quelques mois après Alex Stamos, pour rejoindre l’éditeur du navigateur Brave. Elle s’adresse aujourd’hui aux actuels employés de Yahoo :
« Vos supérieurs ont autorisé qu’un backdoor mal écrit soit mis en production sans aucun examen de sa sécurité, et pourtant ils n’ont pas voulu approuver le chiffrement de bout en bout ».
Des millions de comptes concernés
Conformément à une directive classée des autorités américaines, le groupe aurait procédé à la fouille minutieuse de plusieurs centaines de millions de comptes Yahoo Mail sur ordre de la National Security Agency (NSA) ou du FBI. Les faits ont été confirmés par deux anciens employés et une troisième personne également au courant de cette pratique récente. Les services secrets américains ont notamment demandé à Yahoo de travailler sur la base d’un ensemble de caractères, comme une phrase dans un email ou une pièce jointe.
Selon certains experts en surveillance, il s’agit du premier cas mis au grand jour d’une entreprise américaine du secteur d’Internet acceptant une demande des services secrets visant à surveiller l’ensemble des messages lors de leur réception, à la différence d’un examen des messages stockés ou d’un nombre restreint de comptes. En interne, cette décision de se soumettre au FBI et à la NSA était mal vue chez plusieurs dirigeants et cela a conduit en juin 2015 au départ du responsable de la sécurité du groupe, Alex Stamos, qui occupe désormais les mêmes fonctions chez Facebook. L’équipe chargée de la sécurité des serveurs de Yahoo n’a découvert l’existence du logiciel en question qu’en mai 2015, soit quelques semaines seulement avant son installation. Elle a d’abord pensé que des pirates informatiques étaient parvenus à entrer dans les systèmes de Yahoo.
C’est la directrice générale Marissa Mayer alors au pouvoir qui a pris la décision d’obéir à cette directive.
Questionné à ce sujet, Yahoo indique être « une entreprise respectueuse de la loi et elle se plie aux lois des États-Unis », mais a refusé de donner des détails. De son côté, la NSA a refusé de commenter.
Du côté de Google et Microsoft, on imagine facilement que la NSA et le FBI ont adressés les mêmes souhaits. Les deux autres géants américains ont déclarés dans la foulée qu’ils n’avaient pas accepté d’effectuer de recherches de ce type dans les courriels. Mais peut-on vraiment croire cela ? Libre à chacun de se faire sa propre opinion !