Yahoo, sévèrement mis à mal par des pirates bien installés ?
L’enquête actuellement en cours sur l’intrusion de 2014 n’est pas à l’origine de la découverte de celle de l’été 2013. De quoi semer le doute sur la capacité de Yahoo à véritablement en trouver l’origine et à bouter les pirates hors de son infrastructure.
Yahoo vient de reconnaître avoir découvert qu’au moins un milliard de comptes de ses utilisateurs avaient été compromis à l’été 2013. Mais ce n’est pas grâce à l’enquête interne lancée suite à l’annonce, fin septembre, de la compromission des données d’au moins 500 millions de comptes, courant 2014. Non, Yahoo s’est appuyé sur des données fournies par les forces de l’ordre qu’il a peut-être pu comparer à des snapshots de bases de données remontant à 2013. Mais rien ne dit, pour l’instant, qu’il dispose de plus, et en particulier de journaux d’activité qui lui permettraient d’identifier l’intrusion à l’origine de l’incident.
Une question clé : celle des journaux d’activités
Istvàn Szabò, chef de produit syslog-ng chez Balabit, il apparaît difficile de se prononcer sans connaître exactement la politique de rétention de logs en vigueur chez Yahoo : « les délais de rétention requis varient suivant les impératifs réglementaires, entre 1 an (par exemple, pour la conformité PCI DSS) et 7 ans (par exemple, pour la conformité SOX) ». Mais pour des éléments critiques à la sécurité, les bonnes pratiques peuvent commander des périodes de rétention plus longues : « les traces des événements de login/logout sont conservées plus longtemps ». Pour lui, il est donc probable que Yahoo dispose toujours de certains éléments de journaux datant de 2013. Reste à savoir s’ils pourraient fournir suffisamment d’informations pour orienter efficacement l’enquête.
Sceptique, Gérôme Billois, directeur de la practice sécurité de Wavestone, estime qu’il est au contraire « très probable que Yahoo ne dispose plus des journaux : usuellement, les périodes de rétention sont plutôt autour d’un an, notamment pour la protection des données à caractère personnel » et pas plus… « pour des raisons de coûts, en particulier face au volume de données à stocker ».
Des traces perdues à jamais ?
Dès lors, quelles sont les chances de Yahoo de trouver les traces des intrus de 2013 dans ses systèmes ? Istvàn Szabò les estime plutôt bonnes, notamment parce que, à force d’enquêter sur des brèches, les équipes de sécurité de Yahoo « bénéficient d’une meilleure informations sur exactement quoi chercher pour trouver des traces des intrus ». En outre, à compter que des journaux d’activité suffisants soient encore disponibles, « des solutions récentes d’analyse comportementale peuvent trouver des indices sur les activités malicieuses ». Des indices qu’il aurait été impossible de trouver avant, en l’absence de tels outils.
De son côté, Gérôme Billois est bien moins optimiste. Pour lui, les chances de Yahoo sont là « très faibles : leur communiqué de presse le fait ressentir clairement avec de nombreux emplois du conditionnel. Sauf coup de chance, je pense que nous n’aurons jamais une explication complète de cette attaque ».
Des intrus confortablement installés ?
Mais les intrus ayant été à l’origine de l’attaque de 2013 peuvent-ils disposer de leurs entrées au sein de l’infrastructure de Yahoo ? Oui, estiment tant Istvàn Szabò que Gérôme Billois. Pour le premier, « il est sage, de nos jours, d’estimer que certains acteurs malveillants sont présents au sein du périmètre de protection de son organisation ». De quoi plaider en faveur des solutions, encore émergentes, d’analyse comportementale (UEBA).
Pour Gérôme Billois, cette perspective « est certainement la principale inquiétude de Yahoo. Après ces multiples attaques non détectées, comment s’assurer du degré d’intégrité des infrastructures ? Et ce n’est pas une question simple, d’autant plus que la santé financière de Yahoo ne permet certainement pas d’investir au bon niveau de cybersécurité ».
Dans un tel contexte, que pourrait envisager Yahoo pour s’assurer le l’intégrité de son système d’information et ainsi apporter à ses clients les garanties nécessaires à la restauration de la confiance ? Deux approches émergent.
Un nettoyage ? Non, une reconstruction
Pour Gérôme Billois, la première question consiste à « savoir si l’infrastructure de 2013 existe toujours » car, en trois ans, « la situation a pu largement évoluer ». Mais si cette infrastructure existe encore, « la question de la remédiation se pose effectivement ». Et là, les coûts peuvent être considérables : « usuellement, face des systèmes qui ont été compromis en profondeur, on ne parle plus de nettoyage mais de reconstruction. Elle est possible en limitant les interruptions de services qui peuvent se résumer à de courtes périodes de migration pour basculer les nouveaux systèmes ». Las, « pour une infrastructure d’ampleur comme [celle de Yahoo], l’opération peut se chiffrer en centaines de millions de dollars ».
Istvàn Szabò estime de son côté qu’il n’est pas réaliste de « nettoyer une infrastructure à grande échelle ». Pour lui, il conviendrait avant tout d’investir pour analyser les données disponibles, d’une part, et de superviser étroitement l’activité des comptes à privilèges, d’autre part. Et cela en s’appuyant sur « une technologie basée sur proxy transparent en raison de la simplicité de déploiement », avant d’analyser ces activités à la recherche d’anomalies.
Mais Yahoo peut-il se permettre de se contenter de cela, ne serait-ce qu’en termes d’image ? Pour Gérôme Billois, si seuls les systèmes d’authentification des clients ont été compromis, « la reconstruction peut être limitée ». Mais encore faut-il en être sûr… Et si Yahoo a effectivement été la cible d’acteurs étatiques comme l’affirmait fin septembre, « la compromission a dû être profonde ».
L’occasion d’un sérieux rabais pour Verizon ?
Et là, si la confiance dans Yahoo a été atteinte, ce n’est pas sans conséquences sur sa valeur. Selon Reuters, Verizon, qui avait offert près de 5 Md$ en juillet pour racheter le fournisseur de services Web, chercherait désormais à « amender les termes de l’accord pour qu’ils reflètent l’impact économique des deux attaques ».
Déjà mi-octobre, à l’occasion d’une table ronde avec plusieurs journalistes, le patron du service juridique de Verizon avait laissé entrevoir une telle perspective, estimant disposer d’une « base raisonnable pour croire maintenant que l’impact est concret ». Autrement dit : que les révélations de brèches de sécurité ayant déjà eu lieu affectaient la valorisation de Yahoo. Désormais, selon nos confrères, Verizon cherche à obtenir « des concessions majeures ».
Egalement sollicités pour répondre à nos questions, FireEye et Rapid7 ont préféré ne pas commenter.