Yahoo : l’exemple d’une gestion d’incident de sécurité ratée
Le comité chargé à l’automne dernier d’enquêter sur l’incident de sécurité de fin 2014 a mis en évidence des dysfonctionnements multiples, depuis la communication interne jusqu’à la prise de décision.
Marissa Mayer ne gardera pas son bonus annuel. La patronne de Yahoo a souhaité qu’il soit redistribué aux « employés très travailleurs de notre entreprise, qui ont tant contribué au succès de Yahoo en 2016 ». Marissa Mayer attribue cette décision aux incidents de sécurité survenus alors même qu’elle était en fonction. Mais sans vraiment formuler d’excuse. Au contraire, elle semble presque prendre ses distances des conclusions, particulièrement inconfortables, du comité indépendant chargé d’enquêter sur l’incident de sécurité dont Yahoo a été victime en 2014.
Le 23 septembre dernier, Bob Lord, RSSI du groupe, a reconnu publiquement que les données d’au moins 500 millions de ses utilisateurs lui avaient été dérobées en 2014. Début novembre, Yahoo indiquait à la SEC, le gendarme américain des marchés boursiers, qu’il savait, dès la fin 2014, qu’une intrusion avait eu lieu sur son infrastructure. Mais sans être en mesure d’indiquer qui savait quoi et depuis quand.
Aujourd’hui, Marrisa Mayer assure que l’incident en question avait rapporté à l’époque aux forces de l’ordre ainsi qu’aux « 26 utilisateurs dont nous avions compris qu’ils étaient affectés ». Elle se montre ainsi bien moins sévère que Yahoo ne l’est lui-même dans le rapport qu’il vient de fournir à la SEC. Celui-ci fait en effet état de « déficiences dans les protocoles existants de réponse aux incidents de sécurité » appliqués à l’incident de 2014.
De fait, les conclusions du comité indépendant ne sont pas tendres. Selon celles-ci, « l’équipe de sécurité de l’information de l’entreprise avait une connaissance contemporaine de la compromission de comptes utilisateurs de 2014, ainsi que d’incidents par le même attaquant impliquant la falsification de cookies en 2015 et 2016 [qui a conduit à la compromission des comptes de 32 millions d’utilisateurs, ndlr] ». En fait, dès la fin 2014, la direction « ainsi que les personnels compétents » que l’outil interne de gestion de comptes avait été détourné. Et l’on retrouve ici la ligne, discutée notamment par InfoArmor, de l’acteur malveillant soutenu par un état.
D’après le comité indépendant, des « mesures de sécurité additionnelles significatives » ont été mises en place. Mais pour autant, « il apparaît que certains dirigeants n’ont pas correctement compris ou enquêté » et ont ainsi « échoué à agir suffisamment » à partir de « l’étendue complète de la connaissance interne de l’équipe de sécurité de l’information de l’entreprise ». En fait, dès décembre 2014, cette équipe savait que des copies de sauvegardes de la base de données utilisateurs de Yahoo avaient été dérobées. « Mais il n’est pas clair si et dans quelle mesure l’indication de cette exfiltration a été effectivement communiquée et comprise en dehors de l’équipe de sécurité de l’information ».
Certes, selon le comité d’enquête, il n’y a pas eu de tentative interne de cacher la chose. Mais « l’équipe juridique appropriée avait suffisamment d’information pour motiver une enquête substantiellement approfondie en 2014 ». En définitive, Yahoo indique que « le comité a trouvé des échecs de communication, de management, d’enquête et de reporting interne qui ont contribué au manque de compréhension et de gestion appropriée de l’incident de sécurité de 2014 ». Le conseil d’administration n’apparaît pas ainsi avoir été informé de manière « adéquate » de la « pleine sévérité, des risques et des impacts potentiels de l’incident de sécurité de 2014 ».
Et c’est encore sans compter avec le milliard de comptes de ses utilisateurs qui avaient été compromis à l’été 2013, un incident récemment découvert grâce à des données fournies par les forces de l’ordre – et sans lien avec l’enquête interne en cours sur l’incident de 2014. Mais le tout pourrait encore peser sur la valeur de Yahoo. Verizon a déjà réduit son offre de rachat de 350 M$, pour valoriser finalement l’opération à environ 4,5 Md$. Surtout, l’accord conclu prévoit que chacune des parties sera responsable à hauteur de 50 % des pertes liées aux incidents de sécurité dont a souffert Yahoo.
A ce jour, on compterait une quarantaine de procédures collectives engagées par des consommateurs contre Yahoo en raison de sa gestion de ces incidents. A celles-ci s’ajoutent celles d’actionnaires qui accusent l’entreprise et certains de ses dirigeants d’avoir failli à leurs devoirs d’information des actionnaires sur ces incidents de sécurité et leurs conséquences potentielles. Mais dans son rapport à la SEC, Yahoo indique « ne pas croire qu’une perte liée à ces points est probable », du moins sur « la base des informations actuelles ».