Faille de sécurité Yahoo : pourquoi autant de temps pour admettre ce piratage ?

Quelques heures après que Yahoo ait révélé sa dernière faille de sécurité, les utilisateurs se sont tout simplement demandés pourquoi l’entreprise avait mis autant de temps pour avouer une perte de données, qui remontait à 2013. Pour l’observateur candide, 3 ans représentent une période plutôt longue, et rend cette attente très suspecte, laissant supposer que l’entreprise a délibérément entretenu le flou à ce sujet.

Dans le cas de Yahoo, la suspicion est particulièrement forte car il s’agit de la deuxième faille de sécurité en l’espace de 3 mois, la faille de sécurité précédente datait de 2014.

Yahoo n’est pourtant un cas particulier. Les entreprises en général avouent souvent, les failles de sécurité qui se sont déroulées, quelques années auparavant. Target est un bon exemple.

Cependant, il existe des raisons pour lesquelles la divulgation prend du temps. En général ce lapse de temps n’a rien de suspect. En effet, il s’agit du temps nécessaire pour découvrir que la faille de sécurité en question a bien existé. A partir de là, cela prend du temps à l’entreprise pour mener une enquête, et rassembler tous les éléments afin d’établir une vision globale des événements.

Et parfois, il s’agit des dirigeants qui perdent du temps en hésitations diverses.

Yahoo a déclaré dans récente une déclaration officielle que les services de police avaient fourni à l’entreprise des informations le mois dernier : à savoir des fichiers de données, qu’une tierce personne avait déclaré être des données utilisateurs Yahoo. Yahoo a alors précisé qu’il avait analysé le données en question, avec l’assistance d’experts techniques externes, et avait déterminé qu’il s’agissait effectivement de données utilisateurs Yahoo.

3 choses qui ont ralenti les investigations

Wim Remes, CEO et consultant principal chez NRJ sécurité, a déclaré qu’il y avait 3 raisons pour lesquelles les organisations prenaient autant de temps pour détecter et divulguer l’existence d’une faille de sécurité :

La visibilité : Est ce que les organisations sont capables de détecter ce qu’elles recherchent ? Dans beaucoup de cas la réponse est NON. “Il existe tellement de technologies, déployées au sein d’organisations, qui sont en réalité des collectrices de données. Plutôt que de faciliter le regroupement et la corrélation de données, elles rendent cette tâche incroyablement compliquée, en s’appuyant sur des tableaux de bord amusants et un analyse de données des plus basiques”, déclare Remes. “Les solutions sécurité devraient plutôt fournir des informations, grâce à l’utilisation d’API simples, qui permettraient aux organisations d’extraire les données dont elles ont besoin, le moment venu”.

La responsabilité : Alors que les organsinions possèdent effectivement des données qui pourraient les aider à identifier les failles de sécurité et leurs impacts, il est incroyablement compliqué de relier ce données avec leurs propriétaires ou leurs responsables, déclare Remes. “Les processus connectent les ressources avec les activités, rendant ainsi impossible le travail avec les décideurs (ou rendant impossible votre propre prise de décision) et ralentissant considérablement les organisations, à un point où cela prend des mois ou bien des années pour identifier et réagir en conséquence, en face de failles de sécurité”, a-t-il ajouté.

La souplesse : la sécurité est l’une des composantes d’une organisation complexe. Remes déclare qu’il est rare de voir une entreprise qui donne à la cybersécurité la place qu’elle mérite ou y prêter une particulière. “Nous disons souvent que la sécurité est l’affaire de tous, mais en réalité c’est gagner de l’argent qui l’est plutôt”, déclare-t-il. « De qui se moque-t-on ? Si vous continuer à construire une équipe d’experts en sécurité, plutôt que de créer des experts avec le savoir adéquat en matière de cybersécurité, vous n’atteindrez jamais le point à partir duquel vous serez enfin capables de réagir en tant qu’organisation. Vous ne pouvez pas vous reposer sur une équipe sécurité isolée, avec un faible rayon d’action, rendant impossible une protection efficace. Cela revient à espérer qu’une bande de ruban adhésif ait le même comportement qu’une ceinture de sécurité 5 points dans une formule 1. Cela ne fonctionnera tout simplement pas”.

Des différences légales entre Etats

Il n’existe pas de loi fédérale concernant la notification des failles de sécurité, mais quasiment chaque état a des lois concernant ces dernières. Bien qu’il existe de nombreuses dispositions similaires, les états ont tendance à différer sur ce qui nécessite ou non une réponse, déclare Michael Schearer, un expert en sécurité basé à Baltimore, spécialisé dans les affaires légales. Les états diffèrent en ce qui concerne :

• Le nombre de failles de sécurité enregistrées, nécessitant des notifications.
• Le type de données perdues.
• La définition des “données personnelles”.
• Le délai après lequel il est nécessaire de réagir.
• A qui vous devez envoyer une notification (à des agences d’état, et/ou à des individus), et
• Le format que doit avoir la notification.

“En pratique, une faille qui concerne des utilisateurs au niveau national, devrait vous amener à envoyer entre 7 et 8 types de lettres différentes, en fonction des états et de leurs exigences particulières”, a-t-il déclaré.

De plus, Schearer a souligné que l’obligation d’envoyer une notification débutait au moment où vous aviez découvert, effectivement, l’existence de la faille de sécurité en question.

“Ainsi, si la faille de sécurité de Yahoo datait de 2013, mais qu’il l’a tout juste découvert en Novembre 2016, alors le compte à rebours débute en Novembre 2016, a-t-il précisé. “Yahoo travaille probablement avec des experts juridiques pour ce type de risques. Il va donc travailler avec cette dernière pour ébaucher les lettres de notifications, à la fois celles pour les autorités locales compétentes, dans tous les états où des notifications sont nécessaires, et probablement une autre lettre à envoyer aux utilisateurs”.

Les effets néfastes de l’indécision

Un expert en sécurité, qui souhaite garder l’anonymat dans la mesure où il n’a pas l’autorisation de la part de ses employeurs de parler à la presse, a déclaré que dans la plupart des cas, ce temps excessif pris avant de divulguer, vient du fait que les dirigeants coupent les cheveux en quatre, en se demandant ce qui doit être divulgué et ce qui ne le doit pas.

“Je parierais sans hésitation que dans la plupart des cas, cela est dû aux cadres dirigeants seniors (Président, PDG, …) qui prennent les décisions suivantes :

• Dans les circonstances particulières de la faille de sécurité, une divulgation n’est pas nécessaire.
• Les risques de divulgation “maintenant” peuvent empêcher les actions à entreprendre à l’avenir.
• Je ne comprends pas !

Les personnes interrogées, en mettent en garde d’autres, dans l’industrie de la cybersécurité, en particulier vis à vis des compagnies pratiquant le trash-talking (la provocation), et qui deviennent des victimes. Après tout, le CISO qui s’est bien amusé en regardant les autres, peut très bien un jour se retrouver lui-même, au centre d’une tempête résultant d’une terrible faille de sécurité.

“Nous pouvons montrer du doigt l’équipe sécurité de Yahoo, et facilement les blâmer pour ce nouvel échec, mais en réalité cela peut arriver à chacun d’entre nous”, a déclaré Remes.

Follow @ SophosFrance //platform.twitter.com/widgets.js
Partagez Faille de sécurité Yahoo : pourquoi autant de temps pour admettre ce piratage ? : http://wp.me/p2YJS1-37m
Billet inspiré de Yahoo breach: why does it take so long to tell people about a hack?, par Bill Brenner, Sophos NakedSecurity.