Premières questions sur les pratiques de sécurité de Yahoo

Yahoo a reconnu récemment la compromission des données associées aux comptes d’au moins 500 millions de ses utilisateurs. Le fournisseur de services Web a imputé cette attaque à des cybercriminels soutenus par un Etat-nation, ce qui n’a pas manqué d’éveiller un certain scepticisme. Et peut-être celui-ci est-il justifié.

De fait, Venafi n’a pas attendu bien longtemps pour mettre en cause la mise en œuvre du chiffrement par Yahoo. Dans un communiqué, l’éditeur relève que Yahoo utilise toujours l’algorithme MD5 pour ses certificats – la spécialiste de Venafi n’étant autre que la gestion de ces derniers –, un algorithme réputé fragile depuis plusieurs années, et affecté par de nombreuses vulnérabilités bien connues. L’un de ces certificats est même générique (*.yahoo.com) et assorti d’une durée de vie de cinq ans. En outre, 41 % des certificats utilisés par Yahoo pour ses communications externes s’appuient sur SHA-1, un algorithme qui n’est plus non plus considéré comme sûr et à l’abandon accéléré duquel des chercheurs ont appelé à l’automne 2015.

Pour son analyse, Venafi s’est basé sur l’étude de données consolidées par TrustNet, une base de données mondiale de certificats. Et selon celles-ci, 27 % des certificats utilisés par les services en ligne de Yahoo pour les connexions externes n’ont pas été renouvelés depuis janvier 2015. Hors, remplacer les certificats après une brèche s’avère critique : sans cela, il est difficile d’être certain que les attaquants n’ont pas les moyens d’intercepter les échanges chiffrés. Mais voilà, seulement 2,5 % des 519 certificats utilisés par Yahoo ont été émis au cours des trois derniers mois. Et Venafi d’estimer probable que le fournisseur de services Web ne dispose tout simplement pas des capacités nécessaires au suivi et au remplacement rapide de ses certificats ; un problème plus que courant.

Pour Alex Kaplunov, vice-président de Venafi en charge de l’ingénierie, les pratiques de chiffrement de Yahoo « sont relativement faibles. Ce qui n’est pas surprenant. Selon notre expérience, la plupart des entreprises, jusqu’aux marques multinationales investissant considérablement dans la cybersécurité, ont des contrôles du chiffrement fragiles ». Selon lui, tout cela « pose de sérieuses questions quant à savoir si Yahoo a la visibilité et la technologie nécessaires pour protéger les communications chiffrées et assurer la confidentialité des données de ses clients ».

Kevin Bocek, responsable de la stratégie chiffrement de Venafi, va plus loin : pour lui, le fait que les attaquants soient parvenus à exfiltrer les données relatives à 500 millions de comptes d’utilisateur laisse à supposer qu’ils ont utilisé le chiffrement contre Yahoo. Et de souligner qu’il est « presqu’impossible pour toute organisation de détecter un trafic chiffré illégitime sans avoir des pratiques cryptographiques robustes ». Quant aux pratiques de gestion des certificats de Yahoo, elles indiquent, selon lui, que « Yahoo manque d’une visibilité approfondie sur sa posture de sécurité en matière de chiffrement ».

Parallèlement, un particulier de New York, Ronald Schwartz, a engagé une procédure collective contre Yahoo, l’accusant de négligence, selon nos confrères de Sky News.

Avec nos confrères de ComputerWeekly.