Tech&Co
Cybersécurité

Yahoo a espionné ses utilisateurs en temps réel pour le gouvernement américain

Le siège de Yahoo (2014)

Le siège de Yahoo (2014) - JUSTIN SULLIVAN / GETTY IMAGES NORTH AMERICA / AFP

Le fournisseur de messagerie a créé un logiciel permettant de filtrer tous les flux d'e-mails sur la base "d'un ensemble de caractères". Plusieurs centaines de millions de comptes auraient ainsi été scannés.

Que faut-il désormais penser de Yahoo ? Non seulement cette entreprise s’est fait voler en 2014 les identifiants de plus de 500 millions d’utilisateurs, mais en plus elle a créé en 2015 un logiciel d’espionnage permettant au FBI ou à la NSA de rechercher et capter en temps réel les messages de tous ses clients. C’est en effet ce que vient de révéler l’agence Reuters qui s’appuie sur quatre sources dont trois travaillaient auparavant chez Yahoo.

Ce logiciel permettait aux agents fédéraux de filtrer l’ensemble des messages arrivants, simplement sur la base "d'un ensemble de caractères" qui peuvent apparaître dans le corps de l’email ou dans les pièces jointes. Les messages concernés étaient ensuite "stockés pour pouvoir y accéder à distance", précise Reuters. Plusieurs centaines de millions de comptes auraient ainsi été scannés. On ne sait pas si ce logiciel d’espionnage, qui s’apparente à une véritable porte dérobée sur les serveurs de Yahoo, est toujours en activité ou non.

Le responsable de la sécurité a claqué la porte

Les ingénieurs de Yahoo ont créé ce logiciel après une demande secrète du gouvernement américain. Les experts en sécurité informatique de Yahoo n’auraient pas été informés de cette mise en place, mais l’auraient décelée que quelques semaines après. Au début, ils pensaient même avoir affaire à une intrusion de pirates. Ne supportant pas cette mise à l’écart, le responsable de la sécurité informatique, Alex Stamos, aurait alors décidé de claquer la porte. En juin 2015, ce manager a été nommé responsable de la sécurité informatique chez Facebook.

Selon The Intercept, cette demande gouvernementale s’est probablement appuyée sur la loi Foreign Intelligence Surveillance Act (FISA), qui permet la collecte de masse d’échanges téléphoniques et informatiques dans le but de surveiller des cibles étrangères, tels que les terroristes islamistes. D’après les sources de Reuters, Marissa Mayer, PDG de Yahoo, n’aurait même pas essayé de contester juridiquement cette requête, estimant que c’était perdu d’avance.

Sur ce point, les avis divergents. Certains experts interrogés par Reuters estiment qu’une telle demande se situe dans le cadre légal de FISA. Par le passé, la justice américaine a par exemple validé la légalité du programme Upstream, qui permet la collecte de masse de données téléphoniques. Des experts interrogés par The Intercept, en revanche, estiment qu’un tel logiciel irait trop loin, car il collecterait également les messages des citoyens américains. Il ne serait donc pas en accord avec la constitution des Etats-Unis. Interrogé par Reuters, Yahoo a simplement affirmé "respecter les lois des Etats-Unis".

Google et Microsoft n'auraient pas reçu un telle requête

Dans la mesure où les agences américaines effectuaient chez Yahoo des recherches par mot clé et non par compte utilisateur, il est probable qu’ils aient envoyé des demandes similaires à d’autres fournisseurs de messagerie. Microsoft et Google, pourtant, ont nié en bloc. "Nous n’avons jamais reçu une telle requête, mais tel était le cas, notre réponse serait simple : pas avec nous !", a expliqué un porte-parole de Google. "Nous n'avons jamais procédé au scan secret du trafic e-mail tel que c'est relaté aujourd'hui à propos de Yahoo", a-t-on déclaré chez Microsoft.

Un porte-parole de Twitter, de son côté, précise "n'avoir jamais reçu une telle requête, et si nous en recevions une, nous la contesterions en justice". Toutes ces déclarations sont évidemment à prendre avec des pincettes, car les destinataires de requêtes gouvernementales classifiées n'ont pas le droit de divulguer leur existence. Le cas échéant, ils pourraient être condamnés au pénal, au regard de la loi Espionage Act.