En début de semaine, l'Information Commissioner's Office (ICO) a annoncé avoir infligé en mai dernier une amende de 250 000 £ (plus de 280 000 €) à Yahoo! UK Services Limited dans le cadre de la cyberattaque de 2014.
Pour la Cnil britannique, Yahoo! UK Services Ltd n'a pas pris les " mesures techniques et organisationnelles appropriées " afin de protéger les données de plus de 500 000 utilisateurs contre " l'exfiltration par des personnes non autorisées. "
L'ICO s'est concentré sur le cas des utilisateurs britanniques affectés, alors que la cyberattaque de novembre 2014 avait touché un demi-milliard de comptes Yahoo. Elle n'avait été révélée qu'à partir de septembre 2016.
Pour cette même fuite de données, le gendarme boursier américain a infligé une amende d'un montant de 35 millions de dollars (près de 30 millions d'euros) à l'ex-Yahoo (Altaba). Les activités historiques de Yahoo ont été rachetées en 2017 par Verizon et intégrées dans Oath avec AOL. Le reliquat de Yahoo est devenu la société d'investissement Altaba.
" Les insuffisances constatées (ndlr : en matière de sécurité) étaient en place depuis une longue période de temps sans avoir été découvertes ou corrigées ", écrit l'ICO. Après avoir dévoilé la cyberattaque de 2014, Yahoo avait révélé une cyberattaque encore plus ancienne en 2013 et pour l'ensemble des 3 milliards de comptes de l'époque.
Le mois dernier, un ressortissant canadien a été condamné par la justice américaine à cinq ans de prison pour le piratage de Yahoo en 2014. Trois autres personnes russes ont été inculpées, dont deux ayant travaillé pour les services de renseignement russes.
Dans un communiqué, l'ICO souligne que depuis son enquête, la législation a changé, dont avec l'entrée en vigueur du Règlement européen pour la protection des données (RGPD). Après avoir pris connaissance d'une violation de données à caractère personnel, les entreprises ont 72 heures pour la signaler.