denisismagilov - Fotolia
Piratage de Yahoo : le cybercrime paie-t-il vraiment bien ?
Les autorités américaines viennent d’inculper quatre personnes dans le cadre de l’enquête sur le vaste piratage dont a été victime Yahoo. Le dossier fait ressortir des rémunérations loin d’être mirobolantes. Mais il laisse entrevoir de lucratifs à-côtés.
La cyberdélinquance est souvent présentée comme rentable - sinon plus - et peu risquée. Et cela semble avoir été le cas aussi pour les pirates tout juste inculpés par les autorités américaines pour le vaste piratage dont a été victime Yahoo. Sauf pour le risque, au moins pour l’un d’entre eux.
Le 23 septembre dernier, Bob Lord, RSSI du groupe, a reconnu publiquement que les données d’au moins 500 millions de ses utilisateurs lui avaient été dérobées en 2014. Saisies du dossier, les autorités américaines viennent d’inculper, les accusant de piratage et d’espionnage économique, notamment : Dmitry Aleksandrovich Dokuchaev, Igor Anatolyevich Sushchin, Alexsey Alexseyevich Belan - ces deux derniers étant agents des services du renseignement russes -, et Karim Baratov. Ce dernier, titulaire de la double nationalité kazakh et canadienne, a été arrêté au Canada. De quoi conforter Yahoo dans ses affirmations contestées d’attaque conduite par des pirates soutenus par un Etat-nation.
Dans un communiqué, le ministère américain de la Justice assure que les prévenus « ont utilisé un accès non autorisé aux systèmes de Yahoo pour voler des informations sur au moins 500 millions de comptes utilisateurs et ont ensuite utilisé certaines de ces informations pour obtenir un accès non autorisé à des comptes [de messagerie électronique] Yahoo, Google et autre, dont ceux de journalistes russes, d’officiels des gouvernements russe et américain, et d’employés d’entreprises privées des secteurs des services financiers et des transports, notamment ».
Des espions russes à la manœuvre
Le dossier d’inculpation fait apparaître Belan et Baratov comme des mercenaires au service de Dokuchaev - récemment accusé de haute trahison par Moscou - et de Sushchin. Les deux agents auraient ainsi utilisé Belan - activement recherché par le FBI depuis 2012 - pour prendre pied sur l’infrastructure de Yahoo. Les moyens initiaux de compromission ne sont pas évoqués.
Mais selon les autorités américaines, Belan a réussi à accéder à l’outil de gestion des comptes utilisateurs du fournisseur de services en ligne, ainsi qu’à la base de données de ceux-ci, dont il aurait réalisé une copie fin 2014, exfiltrée via FTP. Les quatre prévenus sont accusés d’avoir largement recouru à la falsification de cookies pour garder l’accès à plus de 6500 comptes utilisateurs compromis - y compris au sein de l’infrastructure de Yahoo.
Ce sont surtout les adresses secondaires, utilisées par exemple pour récupérer l’accès à son compte en cas d’oubli de mot de passe, qui semblent avoir intéressé les prévenus afin d’identifier des cibles potentielles. Car pendant que Belan s’occupait du système d’information de Yahoo - jusqu’à déployer un outil conçu pour effacer les traces de ses activités dans les journaux des systèmes compromis -, Baratov avait pour mission de prendre le contrôle de comptes de messagerie externes, notamment hébergés par Google. Il aurait ainsi compromis au moins 80 comptes de courrier électronique, en piégeant ses victimes par hameçonnage ciblé - ou spear phishing. Fin octobre 2016, les espions russes auraient ainsi réussi à accéder à des comptes du directeur technique d’une entreprise française de transport.
Des bonnes affaires supplémentaires
Mais les pirates ne semblent pas s’être contentés de leurs activités au service des deux espions russes. Belan est ainsi accusé d’avoir manipulé les résultats du moteur de recherche de Yahoo pour diriger ses utilisateurs en quête de remèdes contre les problèmes d’érection… vers une pharmacie en ligne lui reversant des commissions à chaque achat. Le pirate est également accusé d’avoir dérobé des informations financières d’utilisateurs de Yahoo et d’avoir essayé de récupérer des bons d’achat électroniques. Sans compter la collecte d’adresses e-mails de correspondants de ses victimes dans le but possible de les revendre.
Si le dossier d’inculpation n’avance aucun chiffre pour les émoluments de Belan, ceux de Baratov sont en revanche évoqués : environ 100 $ par compte de messagerie compromis. De quoi estimer sa rémunération sur la période - plus de deux ans - à au moins 8 000 $. Ce qui ne doit représenter qu’une portion très faible de ses revenus : la justice américaine a demandé la saisie de sa Mercedes Benz C54 et de son Aston Martin DBS.
Une autre asymétrie, celle des coûts
On imagine toutefois mal que l’opération ait coûté, côté attaquants, autant qu’elle a déjà coûté à Yahoo et à ses actionnaires. Verizon a ainsi bien demandé un rabais de près de 1 Md$ pour le rachat de Yahoo à la suite des révélations sur les attaques dont il a été victime, pour finalement accepter 350 M$. Début novembre, Yahoo indiquait avoir déjà dépensé 1 M$ dans l’enquête sur l’incident de sécurité.
Mais on compterait une quarantaine de procédures collectives engagées par des consommateurs contre Yahoo en raison de sa gestion de ces incidents. A celles-ci s’ajoutent celles d’actionnaires qui accusent l’entreprise et certains de ses dirigeants d’avoir failli à leurs devoirs d’information des actionnaires sur ces incidents de sécurité et leurs conséquences potentielles.
Toutefois, dans son rapport à la SEC, Yahoo indique « ne pas croire qu’une perte liée à ces points est probable », du moins sur « la base des informations actuelles ». Reste que l’accord conclu avec Verizon prévoit que chacune des parties sera responsable à hauteur de 50 % des éventuelles pertes induites par les incidents de sécurité dont a souffert Yahoo.
Pour approfondir sur Cyberdélinquance
-
Ransomware : que retenir de l’opération de police contre LockBit ?
-
LockBit : arrestation d’un affidé présumé de cette franchise si prolifique
-
DoppelPaymer : descentes de police contre les « principaux » membres du groupe
-
Les États-Unis et le Royaume-Uni imposent des sanctions aux membres du groupe TrickBot