La confiance ne se décrète pas

Le numérique ne devrait pas être une source de méfiance. Il est impossible d'utiliser l'informatique sérieusement si on ne peut le faire de façon sereine.

Le cas Yahoo!

Suivi par celui de WOT.

Vol de données personnelles

Après la mise en vente sur le « dark web », durant l'été, de 200 millions de comptes utilisateurs (dont quelques services de l'armée française !) ; fin septembre 2016 Yahoo apprenait au monde qu'un demi-milliard de ses comptes avaient été piratés en... 2014. Les utilisateurs de Yahoo se sont fait voler des informations personnelles comme leur adresse, numéro de téléphone, nom et date de naissance (quelqu'un peut me dire ce qu'une date de naissance fait sur un compte Yahoo ?).

Des questions et réponses « secrètes » ont aussi été volées. Secrètes étant entre guillemets puisque certaines de ces questions/réponses n'étaient pas chiffrées. Sommes-nous étonné ?

Quelques jours après, on apprenait qu'il ne s'agirait non pas de 500 millions de comptes touchés, mais sans doute de 1 milliard au bas mot. Yaouch !

Le plus stupéfiant dans cette histoire est que Yahoo ait attendu aussi longtemps pour prévenir ses utilisateurs. 1 mois, 2 mois ou 2 ans. Cela est assez confus au moment d'écrire ces lignes.

Alors rembobinons la cassette histoire de tenter d'y voir plus clair.

Pour toi le jeune, voici d'où vient l'expression « rembobiner la cassette ».

« Marissa Mayer has known since July that Yahoo was investigating allegations of a serious data breach ». Traduction : la PDG de Yahoo savait depuis juillet qu'une enquête de ses services était en cours suite à une allégation relative à une importante fuite de données.

En juillet 2016, Yahoo savait donc que quelque chose ne tournait pas rond.

En août, des millions de comptes se retrouvent en vente sur le « dark net ». Le mois suivant. Allô Yahoo ?

Fin septembre, Yahoo révèle publiquement l'ampleur du désastre, soit un piratage massif qui a eu lieu deux ans auparavant.

On ne sait pas en revanche si l'affaire des 200 millions de comptes en vente sur le « dark net » est reliée au piratage de 2014. On ne sait pas non plus depuis quand Yahoo savait que les comptes de ses utilisateurs avaient été piratés. Il parait peu probable qu'une telle entreprise puisse se faire aussi impunément voler des données et le découvrir aussi longtemps après les faits.

Ajout : quelques jours après avoir écrit ce chapitre, il est confirmé que Yahoo n'avait rien ignoré du piratage de 2014, au moment même où il se produisait...

Ajout bis : en décembre 2016, Yahoo révèle que pas moins d'un milliard de comptes ont été piraté en 2013. Autres chiffres, autre date. Même constat.

Ajout ter : oh puis zut ! Offre finale valable jusqu'en octobre 2017 : c'est en fait la totalité des comptes Yahoo qui ont été compromis.

Complaisance envers les autorités

N'importe quelle autorité.

Une tuile n'arrivant jamais seule, quelques jours seulement après l'affaire relatée plus haut, voilà que Yahoo est montré du doigt pour sa complaisance envers le FBI ou la NSA. L'entreprise aurait scanné les courriels de ses utilisateurs afin de les transmettre aux autorités mentionnées.

Yahoo s'est défendu d'une telle pratique en mettant de l'avant une modification de son logiciel anti-spam de façon à repérer, sur ordre de la justice secrète américaine, une signature de donnée relative à un groupe terroriste.

Admettons. Une tempête dans un verre d'eau ? Peut-être, mais à condition toutefois que Yahoo dise bien la vérité, toute la vérité. Hors, à la vue des récents évènements, il serait difficile de jeter la pierre à celles et ceux qui doutent de la transparence de Yahoo.

Je me demande ce qu'en pense Shi Tao.

Conclusion

Évidemment, nul fournisseur de service Internet quel qu'il soit n'est à l'abri d'un piratage massif.

Aucune multinationale ne risquera un potentiel de millions de consommateurs juste pour protéger la liberté d'expression. Même une multinationale d'un pays dit démocratique.

Mais lorsque ces entreprises servent des centaines de millions de personnes, on s'attend à ce qu'elles fassent preuve d'une réactivité et d'une transparence hors normes. On devrait exiger qu'elles protègent ses utilisateurs plutôt que ses actionnaires. C'est une question - primordiale - de confiance.

Hors, Yahoo démontre qu'en dehors des grands discours corporatistes, les entreprises de la Silicon Valley ignorent ces vertus, se servent de la loi de tel ou tel pays comme d'un cache-sexe ou négligent sciemment de dévoiler qu'elles ont des morpions.

En revanche, il est toujours possible pour l'utilisateur averti et le consommateur prudent, de choisir autrement...

WOT

Web Of Trust (Web de Confiance) est une extension de navigateur qui permet, grâce à un code de couleur, de vérifier si un site est digne de confiance, c'est-à-dire qu'il ne comporte pas de malwares, ne propose pas de téléchargements douteux, et tout un tas d'autres choses peu recommandables. Bref, WOT met au vert les sites qui montrent patte blanche.

Le lien ci-dessus envoi vers une page du site comment ca marche qui explique bien, dans sa première partie, le fonctionnement de WOT. C'est ce qui rend cette page intéressante. Pour la deuxième partie qui décrit comment installer cette extension du diable, de grâce, oubliez-là. Ne la lisez même pas.

Pourquoi ?

Parce qu'au début novembre 2016 une équipe de journalistes allemands découvrait le pot aux roses derrière « le web de confiance ». En fait, le seul domaine dans lequel WOT pouvait être digne de confiance, c'est celui de la revente ou de l'exploitation des données des utilisateurs, et non des moindres ; je cite : « WOT pouvait faire n’importe quoi, allant du vol d’identifiants bancaires à l’installation d’un logiciel malveillant sur la machine de l’utilisateur ».

Firefox et Google l'ont retiré illico presto de leur liste d'extensions (store).

La conclusion de cet éloquent dossier est bien simple : Web Of Turpitudes.