faille-de-securite
Produits et Services PRODUITS & SERVICES

Faille de sécurité : Yahoo savait depuis 2 ans que des données utilisateurs avaient été volées

Texte écrit par
15 novembre 2016
Protection des données Faille de sécurité Mot de passe Sécurité

Faille de sécurité : Yahoo savait depuis 2 ans

Que des données utilisateurs avaient été volées

faille-de-securiteEn septembre dernier, tout juste 2 mois après que Verizon ait annoncé qu’il envisageait d’acquérir la compagnie, Yahoo confirmait les rumeurs selon lesquelles plus de 500 millions de comptes utilisateurs avaient été piratés lors d’une faille de sécurité en 2014.

Cette révélation a déclenché des remous dans la mesure où des politiciens ainsi que d’autres personnes se sont demandés pourquoi le public a été mis en courant de cette faille de sécurité, 2 ans seulement après qu’elle ait eu lieu. Comment Yahoo a pu n’en savoir rien pendant tout ce temps ?

A présent, Yahoo a admis que quelques employés savaient.

Dans son rapport trimestriel, déposé auprès de la “US Securities and Exchange Commission”, Yahoo a déclaré :

L’entreprise a identifié que des acteurs, avec le soutien d’un Etat, ont eu accès au réseau de la compagnie à la fin 2014.

Le rapport ne donne pas de détails au sujet de la faille de sécurité initiale, ne dit pas si elle avait été divulguée auprès du senior management, et ne précise pas non plus quand Yahoo a découvert l’ampleur de cette faille.

Le rapport mentionne qu’une commission indépendante est en train d’enquêter sur ces questions.

Selon une source proche de l’enquête, Yahoo n’aurait pas pu s’apercevoir de l’ampleur de l’attaque car cette dernière était tout simplement complexe à analyser.

Selon le Financial Times :

Selon une source proche de l’enquête, Yahoo n’aurait pas eu une “vision globale des événements du fait de la sophistication de cette attaque soutenue par un Etat”.

Lorsque Yahoo a fait venir des experts externes, afin d’enquêter sur des soupçons portant sur une faille de sécurité séparée, qui se sont d’ailleurs avérés erronés, Yahoo a développé une vision plus complète, a déclaré cette source.

Cette faille de sécurité a permis le vol d’informations qui comprenaient les noms d’utilisateurs, les adresses emails, les numéros de téléphone, les dates de naissance, les mots de passe hashés (la plupart avec bcrypt, a précisé Yahoo) et, dans certains cas, les questions de sécurité et leurs réponses chiffrées et non chiffrées.

Bcrypt est un système de stockage de mots de passe connu pour utiliser la technique de salage-hashage-stretch. Il s’agit du même système utilisé par d’autres entreprise victimes récemment de failles de sécurité, incluant notamment Ashley Madison.

Est-ce que cela signifie que tout va bien ? Et que le point positif est l’utilisation par Yahoo de bcrypt ?

Non, pas forcément. Un bon système de stockage de mots de passe rend le craquage de ces derniers, par des cybercriminels, beaucoup plus compliqué à réaliser mais pas impossible non plus, et si votre mot de passe est faible il pourra être craqué de toutes les façons. La bonne nouvelle est que le craquage du procédé de hashage de bcrypt prend beaucoup de temps et de ressources informatique et donne très peu de résultats.

Yahoo a déclaré que des experts scientifiques étaient aussi en train d’enquêter sur des preuves impliquant un cybercriminel, supposé être le même acteur avec le soutien d’un Etat et responsable de la faille de sécurité de 2014. Il aurait créé des cookies capables de contourner les mots de passe, afin d’atteindre les comptes utilisateurs et les informations relatives à ces derniers.

Lorsque vous vous connecté à un site web sécurisé, ce dernier vous attribue un cookie. Chaque fois que votre navigateur fait une requête à ce site internet, il envoie en parallèle ce cookie avec la requête afin que le site en question vous reconnaisse et ne vous demande pas une nouvelle fois votre identifiant et votre mot de passe

Si quelqu’un peut voler ce cookie, ou bien deviner comment il a été créé, il obtient alors une clé pour entrer dans votre compte, qui est au final aussi efficace que votre mot de  passe lui-même.

La source du Financial Times a déclaré que l’entreprise ne pensait pas que le décorticage des cookies de Yahoo Mail, pour contourner les mots de passe, était réellement possible.

Yahoo a insisté pour préciser que malgré le million de dollars dépensé pour cette faille de sécurité depuis le mois de septembre, il n’y aurait pas de conséquence négative d’un point de vue des résultats financiers.

Verizon ne s’est pas montré si optimiste au sujet du potentiel impact financier.

Yahoo a aussi souligné dans son rapport qu’il était en train de préparer 23 actions en recours collectifs, suite à cette faille de sécurité, incluant des poursuites émanant de la “US Federal Trade Commision”, “US Securities and Exchange Commission”, d’un certain nombre d’avocats généraux d’Etat, et du procureur général du district Sud de New York.

//platform.twitter.com/widgets.js
Partagez Faille de sécurité : Yahoo savait depuis 2 ans que des données utilisateurs avaient été volées : http://wp.me/p2YJS1-335
Billet inspiré de Yahoo staff knew they were breached two years ago, par Lisa Vaas, Sophos NakedSecurity.

Sophos
À propos de l’auteur

Lire des articles similaires

Qu’en pensez-vous ? Laissez un commentaire.

Your email address will not be published. Required fields are marked *