500 millions de comptes Yahoo : un « big one » avant le prochain

Bob Lord, RSSI de Yahoo, vient de reconnaître que les données des comptes d’au moins 500 millions de ses utilisateurs lui ont été dérobées fin 2014. Dans une déclaration en ligne, il explique que les informations volées peuvent recouvrir « noms, adresses e-mail, numéros de téléphone, dates de naissance, mots de passe chiffrés (la vaste majorité avec bcrypt), et dans certains cas, les questions et réponses de sécurité chiffrées et non chiffrées ». A priori, aucune donnée de paiement ni mot de passe en clair n’ont été dérobés. Ce que n’implique pas qu’il n’y ait pas de risque pour les utilisateurs.

Comme ceux dont les comptes Dropbox, MySpace, LinkedIn, Badoo, Fling, Last.fm, ou encore Adobe ont été compromis précédemment, les utilisateurs de Yahoo concernés peuvent faire l’objet de campagnes de pourriels ou de hameçonnage. Ce que relevait récemment Patrick Heim, responsable de la confiance et de la sécurité chez Dropbox. Bob Lord n’ignore pas ce risque et recommande la méfiance « si des communications non sollicitées demandent vos informations personnelles ou vous envoient vers une page Web vous demandant des informations personnelles ». Et il suggère également de ne pas « cliquer sur des liens ou télécharger des pièces jointes dans des e-mail suspects ». De fait, les informations dérobées peuvent être à tout le moins exploitées par des cybercriminels pour essayer de compromettre d’autres comptes des utilisateurs concernés.  

Mais alors que la réutilisation de mots de passe est plus que monnaie courante, et que ceux-ci sont généralement simples, trop simples, Erwan Jouan, responsable Europe du Sud de Tenable rappelle une mesure à prendre d’urgence : « changer de mots de passe et en créer de nouveaux pour éviter le risque de propagation et de fuite de données personnelles sur d’autres comptes ». Surtout, « pour réduire l’impact de la prochaine violation de ce type qui est inévitable, les utilisateurs doivent se protéger en ayant des mots de passe individuels pour chaque service ou abonnement ».

Le fournisseur de passerelle d’accès Cloud sécurisé Skyhigh souligne quant à lui l’importance de l’adoption des services de Yahoo dans les entreprises : Flickr serait ainsi présent dans 82 % des entreprises de plus de 100 utilisateurs, suivi par Tumblr (81 %), mais aussi la messagerie électronique de Yahoo (70 %). 

Yahoo's ad revenue is skyrocketing, as 500 million users log in to Yahoo for the first time in years. To change their password and log out.

— Mikko Hypponen (@mikko) September 23, 2016

Mais qui est à l’origine du vol de ces données ? Yahoo l’impute à des cybercriminels soutenus par un Etat-nation. Une façon comme une autre de faire référence à un niveau de sophistication élevé et d’éviter que ne soient mises en doute trop ouvertement ses mesures de sécurité internes. Mais, sans accuser Yahoo de mentir, Graham Cluley n’en cache pas moins là son scepticisme : « si je devais révéler que mon entreprise a été piratée, et qu’au moins 500 millions de ses utilisateurs sont exposés, je me sentirais bien mieux en disant que les attaquants étaient soutenus par un Etat plutôt qu’en dénonçant un groupe d’adolescents boutonneux issus des mauvais quartiers ».

Pour autant, il ne fait aucun doute que les mesures de sécurité de Yahoo feront l'objet de nombreuses questions. Et notamment pour savoir si ce sont elles qui ont permis la découverte de la brèche, et quand. Car début août, un cybercriminel connu sous le pseudonyme Peace, qui avait précédemment vendu les données d’utilisateurs de MySpace et LinkedIn, assurait pouvoir vendre celles de 200 millions d’utilisateurs Yahoo. S'il s'averait qu'un groupe de cybercriminels était parvenu à infiltrer l'infrastructure de Yahoo durant plus d'un an, sans générer la moindre alerte, il y a fort à parier qu'au moins l'image du groupe serait amenée à en pâtir de manière considérable.