Maksim Kabakou - Fotolia
Nouveaux doutes sur les pratiques de sécurité de Yahoo
Le spécialiste du Web pourrait avoir été victime de pirates liés à d’autres brèches de grande ampleur, dont certaines resteraient encore à révéler. Mais son contrôle de certains accès à ses services semble léger.
Yahoo a reconnu récemment la compromission des données associées aux comptes d’au moins 500 millions de ses utilisateurs. Le fournisseur de services Web a imputé cette attaque à des cybercriminels soutenus par un Etat-nation, ce qui n’a pas manqué d’éveiller un certain scepticisme. Et peut-être celui-ci est-il justifié. InfoArmor laisse ainsi à penser que le fournisseur de services en ligne ne serait rien de plus qu’une victime parmi d’autres d’un groupe de cybercriminels bien rodé.
Après analyse, ce spécialiste du renseignement sur les menaces arrive à la conclusion que « Yahoo a été compromis en 2014 par un groupe de pirates professionnels qui ont été engagés pour compromettre les bases de données clients d’une série d’organisations différentes. Certaines de leurs cibles initiales, touchées en 2012 et 2013, sont directement liées à des brèches de données récente et de grande ampleur, sur des réseaux sociaux et des services en ligne tels que MySpace, Tumblr et LinkedIn ». Et d’ajouter que « d’autres marques bien connues ont été affectées par ce groupe, mais les données qui leur ont été volées ne sont pas actuellement disponibles à la vente ou à la validation » sur le marché noir.
Deux groupes seraient là à l’œuvre, l’un anglophone, l’autre issu de l’Europe de l’Est. Le premier serait lié aux piratages d’Ashley Madison, d’AdultFriendFinder et de la police nationale turque. Le second serait impliqué dans celui de Yahoo, mais également Dropbox, Fling, MySpace, LinkedIn, ou encore Badoo et LastFM.
InfoArmor met donc à mal la thèse de cybercriminels soutenus par un Etat-nation. Toutefois, un tel acteur aurait été impliqué dans une transaction en 2015, cherchant à s’assurer l’exclusivité d’un jeu de données. Et pour le spécialiste du renseignement sur les menaces, « le vol de données clients de Yahoo pourrait avoir joué un rôle clé dans plusieurs attaques ciblées contre des fonctionnaires de l’administration américaine », fin 2015.
Mais les pratiques de sécurité en place chez Yahoo continuent d’être mises en cause. Venafi n’a pas attendu longtemps pour mettre en cause la mise en œuvre du chiffrement par Yahoo. Citant des employés du fournisseur de services en ligne, actuels et anciens, le New York Times, n’est pas plus tendre. Si Yahoo disposait en 2014 d’une équipe robuste d’experts en cybersécurité, « leurs demandes étaient souvent écartées parce que l’inconfort induit par la protection ajoutée pourraient amener les gens à arrêter d’utiliser les produits de l’entreprise ».
Mais les choses ont-elles vraiment changé ? Pas complètement en tout cas si l’on en croît l’expérience que relate Trend Micro : l’un des membres de ses équipes a changé le mot de passe de son compte Yahoo. Mais cela ne l’a pas empêché de continuer à utiliser sa messagerie électronique associée sur son iPhone… sans avoir à en mettre à jour les réglages : « après enquête, il est apparu clair que Yahoo a émis un identifiant permanent pour le terminal. Celui n’expire pas et n’est pas révoqué lorsque le mot de passe change. En d’autres termes, si quelqu’un a déjà obtenu l’accès à votre compte et configuré l’application Mail d’iOS pour l’utiliser, il peut continuer d’accéder à votre compte même après le changement du mot de passe ». L’éditeur explique où trouver la liste des appareils ayant accès à son compte Yahoo et comment révoquer ces accès de manière sélective.