Piratage de Yahoo : les experts en sécurité s’interrogent

Après l’annonce du vol de 500 millions de comptes par Yahoo, les experts en sécurité se posent plusieurs questions : retard dans l’annonce, lien avec la vente de 200 millions de comptes, etc.

Coup de tonnerre hier quand Yahoo a annoncé avoir subi un piratage de grande ampleur affectant au moins 500 millions d’utilisateurs. Les informations volées comprennent des dates de naissance, des noms, des adresses électroniques, des numéros de téléphone ou des mots de passe « hashés » et dans certains cas des questions de sécurité (et les réponses) chiffrées ou non.

Le portail web a précisé que cette attaque s’était déroulée en 2014 et qu’il soupçonnait un « acteur parrainé par un Etat ». Des investigations sont en cours épaulées par les autorités américaines comme le FBI.

Un lien avec la vente de 200 millions de comptes ?

Une fois passé le choc de l’annonce, les experts en sécurité se posent beaucoup de questions sur ce vol massif de données. La première est : existe-t-il une relation entre la vente de 200 millions de comptes sur le Dark Web en août dernier ? Selon une source proche du dossier citée par nos confrères de Network World, il semble qu’il n’y ait aucun rapport entre les deux affaires.

Les informations vendues pendant l’été par un dénommé Peace of mind étaient issues d’un vol de données datant de 2012. Les échantillons fournis par le pirate se sont révélés exacts. Interpellé, Yahoo avait enquêté, mais n’avait pas trouvé de preuve que ces données soient légitimes, précise la source. Interrogé par chat, Peace a indiqué que « la base de données de 200 millions de comptes n’était pas la totalité », laissant planer un peu plus le doute sur les connexions éventuelles.

Une alerte bien tardive ?

Autre question des spécialistes de la sécurité, pourquoi Yahoo a annoncé ce vol de données aussi tardivement. Rappelons que le site a indiqué que l’intrusion avait eu lieu à la fin 2014. Il semble que l’enquête, menée pour s’assurer de la véracité de la vente de « Peace », ait été élargie sur l’ensemble du système IT de Yahoo. Cette recherche a mis en évidence le piratage de l’entreprise à la fin 2014.

Devant l’ampleur de l’attaque, la firme a dû en informer les autorités judiciaires américaines dont le FBI. La firme a ensuite pris le parti d’informer les utilisateurs du vol massif de données. Elle avait averti Verizon préalablement (2 jours avant) qui est en pleine négociation pour racheter les activités web de Yahoo pour 4,86 millions de dollars.

Un Etat en sponsor ?

Question suivante : quel Etat se cacherait derrière ce méga vol de données ? Pour expliquer ce vol, Yahoo met en avant dans un communiqué, un « acteur parrainé par un Etat ». Par contre, il se garde bien de donner un nom sur la potentielle Nation. On peut bien sûr penser aux Etats traditionnellement soupçonnés par les Etats-Unis : Chine, Russie ou Corée du Nord. Il est encore trop tôt pour le savoir.Dans son chat, Peace s’est en tout cas défendu d’avoir été aidé par un Etat.

Une base de données longtemps en circulation ?

Plusieurs rumeurs étaient venues aux oreilles des experts en sécurité sur la vente sur le marché noir du web d’une base de données Yahoo volées. Alex Holden, RSSI de la société Hold Security explique s’être fait passer pour un acheteur potentiel afin d’en savoir plus. Le ou les pirates affirmaient que la base comprenait entre 200 et 500 millions de comptes.

Le prix pour l’ensemble était de 19 bitcoins (soit environ 11 000 dollars). Le ou les pirates ont ensuite tergiversé sur la vente et sur la date des données oscillant entre 2012 et 2015, voir au début de cette année, précise le RSSI. Finalement, il s’interroge : « Je ne sais pas s’ils l’ont vendu et ce qu’ils en ont fait. »

Il est en tout cas urgent pour les utilisateurs de changer leur mot de passe sur leur compte Yahoo et éventuellement sur d’autres comptes en cas de réutilisation des identifiants.

A lire aussi :

Yahoo avoue le piratage de 500 millions de comptes

Yahoo va-t-il reconnaître le vol de 200 millions de comptes ?

Crédit Photo : Pathdoc-Shutterstock