Yahoo a annoncé jeudi qu’au moins 500 millions de comptes de ses utilisateurs avaient été piratés en 2014 par ce qu’il présente comme un « agent piloté par un Etat ». Les données volées pourraient inclure des noms, des adresses emails, des numéros de téléphone, des dates de naissance et des mots de passe cryptés. Elles ne contiendraient ni mots de passe non-protégés, ni données bancaires, précise le portail internet américain.
Jeremiah Grossman, Responsable de la Stratégie de Sécurité chez SentinelOne (précédemment « infosec officer » chez Yahoo! pendant deux ans) :
Yahoo!, comme quelques autres grandes entreprises, a des réseaux vastes et tentaculaires comptant des centaines de milliers d’utilisateurs. Cela représente une énorme surface d’attaque pour quiconque souhaite se protéger efficacement, tout le temps. De ce fait, il n’est pas surprenant que des incidents même de cette ampleur, ait lieu. Yahoo! n’est certainement pas le premier, et il ne sera pas le dernier.
En raison de la taille de Yahoo!, le groupe a souvent dû compter sur des solutions technologiques propriétaire car, historiquement, peu de produits sur le marché sont capables d’évoluer pour répondre aux exigences de leur système. Il se pourrait que cette approche ait créé des lacunes au sein de leur programme de sécurité car Yahoo! n’est pas en mesure d’utiliser les produits de sécurité de pointe conçus pour contrecarrer les menaces actuelles.
Il y a encore beaucoup de questions sans réponse pour le moment, la plus grande étant que si nous savons que les informations ont été volées fin 2014, en revanche nous ne disposons d’aucune indication quant au moment où Yahoo! a appris ce piratage. Ceci est un détail important dans cette histoire quand on lit certaines critiques.
De plus, il y a des points auxquels il faut répondre notamment la déclaration de Yahoo! disant que le piratage aurait été effectué sous l’égide d’un État. Les attaquants opérants pour un État ne partagent généralement pas publiquement des données volées, ni ne les vendent, comme c’est le cas avec le groupe de pirates « Peace of Mind » qui cherche à faire des profits. Peace of Mind était sur le point de vendre les données qu’il a dérobé à Yahoo!, il est donc peu probable qu’il ait été parrainé par un État. Et si toutefois c’était le cas, cela pourrait signifier que nous pourrions avoir potentiellement affaire à deux cas de piratage différents de Yahoo! avec deux groupes de pirates qui auraient accédé à leur système.
En termes de motivation visant à expliquer pourquoi un État pourrait cibler Yahoo!, il y a des parallèles entre cette affaire et les attaques ayant ciblées Google en 2010 lors de l’opération Aurora. Je dirais que l’État belligérant qui ciblerait des réseaux tels que ceux de Yahoo! le ferait parce que le groupe représente une source précieuse d’informations sur la stratégie potentielle de votre adversaire. Si vous êtes un État et que vous souhaitez déterminer si l’un de vos espions en activité a été découvert, vous mettez des robinets sur Google, Yahoo!, Microsoft, etc. plutôt que sur les réseaux gouvernementaux. Bien sûr, il y a toujours la motivation de pouvoir nommer des dissidents politiques.
Il y a beaucoup de mauvais conseils envoyés aux utilisateurs affectés. Alors que Yahoo! n’a aucune preuve que les attaquants soient encore actuellement dans le réseau, à titre de précaution, je recommande de changer immédiatement non seulement votre mot de passe Yahoo!, mais plus important encore, ceux des autres comptes pour lesquels vous pourriez avoir utilisé les mêmes identifiants. Les attaquants vont certainement tirer parti des identifiants dérobés pour les tester sur plusieurs services jusqu’à ce qu’ils réussissent.
Gary Rider, Vice President Sales chez Proofpoint
L’e-mail est la première menace en termes de cybersécurité et les cyber-criminels pénètrent dans les organisations les plus importantes du monde grâce à celui-ci. La récente brèche dont a été victime Yahoo est la preuve que ces criminels ciblent tout autant les boîtes de réception de sociétés que celle de l’utilisateur lambda et ce, avec la même agressivité.
L’e-mail est aujourd’hui un incontournable dans notre société du tout numérique et les cyber-assaillants travaillent constamment pour l’exploiter. Il créer un lien direct entre un cyber-criminel et sa victime. Si votre boite de messages personnelle est compromise, et qu’un attaquant usurpe votre identité, vous exposez instantanément vos contacts à une menace et permettez à l’intrus de réinitialiser tous les mots de passe de vos autres comptes. Vos informations d’identification de messagerie sont vos données les plus sensibles, les cybercriminels font donc tout pour les obtenir.
Bertrand De Labrouhe, Area Vice President Southern EMEA & Mediterranean chez Imperva
La facilité d’obtenir des tonnes de mots de passes volées, ajoutée au fait que les utilisateurs continueront toujours de réutiliser les mêmes mots de passe tout simplement parce qu’ils sont humains, font que les attaques par « brute force » sont plus efficaces que jamais, forçant les fournisseurs d’applications à prendre des mesures appropriées pour protéger leurs utilisateurs.
Les données issues de l’exploitation de failles sont une marchandise précieuse pour les deux acteurs de la sécurité que sont les professionnels de la protection et les pirates qui les vendent au marché noir.
Pour prévenir les attaques par « brute force », les services de sécurité ne devraient pas compter uniquement sur les politiques de mot de passe, mais devraient prendre des mesures de détection spécifiques comme le taux de tentatives de connexion, la détection de tentatives de connexion émanent de navigateurs automatisés, traiter avec attention les tentatives de connexions de pays inattendus et de sources anonymes et comparer les données de connexion aux mots de passe populaires et aux données volées.
Comme nous l’indiquons dans notre blog, il y a un nombre important de types de violations qui ont eu lieu en 2012, mais dont leur gravité a été sous-estimée et trop peu rapportée. Les organisations ne devraient pas se réjouir trop vite qu’il n’y ait pas de méga brèches en 2016 car elles pourraient le regretter en 2020.
Erwan Jouan, Territory Manager SEMEA chez Tenable Network Security
Avec les environnements informatiques professionnels toujours plus complexes et riches en données, il persiste toujours un fort risque de fuite de données clients vers le dark web. Pourtant alors que nous continuons d’ajouter des technologies de protection sur nos réseaux, les attaques deviennent de plus en plus sophistiquées. II est donc crucial que les organisations réagissent rapidement suite à une infraction pour en déterminer l’impact et mettre en place une approche solide de suivi des retombées post-violation.
Si vous avez un compte Yahoo! et que vous avez utilisé le même mot de passe sur d’autres sites, il serait judicieux de changer de mots de passe et d’en créer de nouveaux pour éviter le risque de propagation et de fuite de données personnelles sur d’autres comptes que vous utilisez. Pour réduire l’impact de la prochaine violation de ce type qui est inévitable, les utilisateurs doivent se protéger en ayant des mots de passe individuels pour chaque service ou abonnement, là où très souvent ils n’en utilisent qu’un ou deux. Les navigateurs modernes ont pourtant la capacité de générer et de stocker des mots de passe complexes, tout comme d’ailleurs les nombreux gestionnaires de mots de passe.
Un des aspects les plus préoccupants de ce vol massif est le fait que les questions et réponses de sécurité (dites questions personnelles) n’étaient pas cryptées. La plupart des utilisateurs ont utilisé des réponses valides à ces questions comme le nom de jeune fille de leur mère, la marque de leur première voiture ou leur premier animal de compagnie… des informations qui pourraient être exploitées par la suite lors de nouveaux abus.