Déjà en 2013, tous les comptes utilisateurs de Yahoo étaient compromis

Yahoo vient de le reconnaître : « sur la base de l’analyse des informations, avec l’aide d’experts externes, Yahoo a déterminé que tous les comptes qui existaient au moment du vol [de données] d’août 2013 ont probablement été concernés »

C’est en décembre 2016 que Yahoo a découvert qu’un attaquant avait réussi à s’infiltrer au sein de son infrastructure un peu plus de trois ans plus tôt. A l’époque, il estimait que les données relatives à plus d’un milliard de comptes utilisateurs avaient été compromises. Soit un tiers des inscrits à ses services. Mais à la suite de son rachat par Verizon, à l’été dernier, Yahoo explique avoir obtenu de « nouveaux renseignements » et penser aujourd’hui que toute sa base installée de l’époque a été touchée. Yahoo reprend donc la notification de ses utilisateurs qui n’ont pas déjà été invités à changer leur mot de passe.

Pour Kevin Bocek, vice-président de Venafi en charge de la stratégie de sécurité, ces nouvelles révélations « ne sont malheureusement pas surprenantes ». Pour lui, il est « probable » que les attaquants ont caché l’exfiltration des données dans « un angle mort dans les tunnels chiffrés de Yahoo ».

L’an passé, beaucoup s’interrogeaient sur la capacité de Yahoo a véritablement retracer les activités des attaquants après si longtemps. De fait, ce n’était pas l’enquête interne lancée suite à l’annonce, fin septembre 2016, de la compromission des données d’au moins 500 millions de comptes courant 2014 qui avait permis la découverte de l’incident de 2013 : c’était des données fournies par les forces de l’ordre.

Et là encore, Yahoo fait état de « nouveaux renseignements », plutôt que d’évoquer des nouvelles informations issues d’enquêtes internes. Dès lors, aujourd’hui encore se pose la question de l’état réel des infrastructures techniques de Yahoo : des attaquants peuvent-ils encore y avoir leurs entrées ?

En décembre dernier, tant Istvàn Szabò, chef de produit syslog-ng chez Balabit, que Gérôme Billois, directeur de la practice sécurité de Wavestone, estimait cela possible. Le premier expliquait qu’il « est sage, de nos jours, d’estimer que certains acteurs malveillants sont présents au sein du périmètre de protection de son organisation ». Pour le second, une telle perspective constituait « certainement la principale inquiétude de Yahoo ».

Reste à savoir en fait dans quelle mesure Yahoo a fait évoluer son infrastructure, non seulement depuis l’été 2013, mais aussi depuis la découverte des intrusions, et surtout si elle a fait l’objet d’une reconstruction en profondeur suffisante.