Yahoo aurait mis en place l’année dernière un logiciel spécifique lui permettant de rechercher dans des centaines de millions d’emails des séquences de caractères. Une « révélation » qui survient alors que l’éditeur fait toujours face aux récentes révélations sur l’ampleur de sa fuite de données.
L’information a été publiée par Reuters : selon trois sources indépendantes proches du sujet, Yahoo aurait accepté en 2015 la demande d’une agence – NSA ou FBI – de mettre en place une solution de recherche automatisée pour débusquer facilement certains mots. La décision aurait été prise par la direction, plus spécifiquement par la PDG Marissa Mayer et le responsable juridique Ron Bell.
Après Prism, la recherche automatisée de mots-clés
L’information peut surprendre, car les révélations d’Edward Snowden autour du programme Prism avaient montré que Yahoo, en 2008, avait refusé d’y participer. En 2014, d’autres documents avaient fourni d’autres détails : l’éditeur avait bien intégré le programme de surveillance de la NSA, sous peine de subir une astreinte de 250 000 dollars par jour de retard dans son application. Pourtant, la société s’était battue, notamment pour remettre en cause le bien-fondé de la loi Protect America Act, qui permettrait d’obtenir certaines informations sans passer par un mandat classique, donc par un juge.
Yahoo, réduite il y a deux ans à donner sa version des faits, doit faire face aujourd’hui à ces nouvelles informations. Toujours selon Reuters, l’acceptation de la demande a été si secrète en interne que la propre équipe de sécurité de l’entreprise n’était pas au courant. C’est en apprenant l’information en mai 2015 qu’Alex Stamos, alors responsable, aurait quitté l’entreprise pour reprendre le même rôle chez Facebook.
Yahoo « respecte la loi »
La demande de la NSA (ou du FBI) n’est pas connue dans les détails. D’après Reuters, le logiciel conçu en réponse permettait de fouiller rapidement dans des centaines de millions d’emails dans le plus grand secret. Elle aurait été transmise au service juridique de l’entreprise sous la forme d’une « directive classifiée ». Yahoo n’aurait pas eu la force de se relancer dans une nouvelle bataille contre le renseignement américain.
Dans la pratique, l’information est évidemment complexe à confirmer. Interrogée, la société s’est contentée de répondre : « Yahoo est une entreprise respectueuse de la loi et obéit aux lois des États-Unis ». Ni confirmation, ni démenti, mais une réponse vague qui laisse champ libre à l’interprétation.
D'autres entreprises ont pu recevoir la même demande
Dans le même temps, et alors même que Yahoo fait face aux précisions sur l’immense fuite de données révélées le mois dernier (plus d’un demi-milliard de comptes concernés), des questions restent. Par exemple – et si ce programme existe bien – est-il toujours en place ? Aucune information n’est disponible sur ce point.
Par ailleurs, si une telle demande a été envoyée à Yahoo, d’autres sociétés, telles qu’Amazon, Apple ou Microsoft, n’ont-elles pas été elles aussi concernées par des programmes équivalents ? Interrogées par la presse anglophone, dont Ars Technica et Reuters, elles ont toutes affirmé que ce n'était pas le cas.
Enfin, on ne sait pas exactement qui aurait envoyé cette « directive classifiée ». Il peut s’agir du FBI pour la NSA, mais la séparation entre les deux agences peut être floue selon qu’il s’agit d’une enquête ou du renseignement en général. Dans un cas comme dans l’autre, il est peu probable qu’une confirmation soit donnée.