Yahoo avait déjà plié face à des pirates en 2013
A l’occasion de cette attaque antérieure à celle confirmée au mois de septembre, plus d’un milliard de comptes utilisateurs ont été compromis. Mais Yahoo ne sait pas encore comment.
Dans un billet de blog, Bob Lord, RSSI de Yahoo, vient d’indiquer avoir découvert, avec l’aide des autorités américaines, qu’un attaquant avait réussi à s’infiltrer au sein de son infrastructure à l’été 2013. Pour compromettre des données relatives à un plus d’un milliard de comptes utilisateurs. Selon Bob Lord, cet incident serait « probablement distinct » de celui sur lequel il a communiqué fin septembre et portant sur environ 500 millions de comptes. Ce qui n’exclut pas des redondances parmi les comptes d’utilisateurs compromis entre les deux.
Plusieurs points de la déclaration du RSSI de Yahoo s’avèrent préoccupants. Tout d’abord, Bob Lord explique n’avoir pas découvert cette compromission de 2013 seul, mais en s’appuyant sur des données fournies par les autorités et au sujet desquelles « un tiers a affirmé qu’il s’agit de données d’utilisateurs Yahoo ». Et cela même alors qu’il conduit actuellement une enquête interne approfondie. La suite est logique : Yahoo « n’a pas été capable d’identifier l’intrusion associée avec ce vol » de données. Et rien ne dit alors qu’il sera jamais capable de le faire. Ni même que l’intrus n’est plus présent dans l’infrastructure. Autant de points sur lesquels Bob Lord reste d’ailleurs silencieux.
Et les pratiques de sécurité du fournisseur de services en ligne ne manqueront pas d’être une nouvelle fois questionnées. En particulier, parmi les données compromises dans cet incident de 2013 se trouvent des empreintes de mots de passe générées avec l’algorithme MD5. Venafi n’a d’ailleurs pas tardé à réagir, soulignant une fois de plus qu’un « nombre impressionnant de certificats Yahoo utilisent MD5, une fonction de hachage cryptographique pouvant être renversée par une attaque brutale ».
Et renvoyant aux capacités d’investigation, Kevin Bocek, directeur stratégie sécurité de Venafi, ne semble pas briller par un quelconque optimisme : « il semble probable que les données aient été chiffrées pendant l’extraction […] il est pratiquement impossible, pour n’importe quelle organisation, de détecter un trafic non autorisé, chiffré, entrant ou sortant du réseau, s’il n’y a pas de pratiques de chiffrement robustes ».
Chez Varonis, Norman Girard, vice-président et directeur général Europe, souligne pour sa part que « beaucoup d’organisations sont parfois piratées de la même manière que Yahoo, mais sans en avoir connaissance car elles ne mènent aucune investigation ». Et justement, « très souvent, les failles sont confirmées, non pas par les équipes de sécurité d’une organisation, mais par la découverte et la confirmation de données divulguées sur le Dark Web ».