Vous avez aimé le piratage de 500 millions de comptes ? Vous allez adorer celui d'un milliard de comptes. Car chez Yahoo!, on ne lésine pas... Le géant américain des services sur Internet vient de reconnaître avoir été victime d'un second gigantesque piratage d'informations sur un milliard de ses utilisateurs, différent de celui dévoilé en septembre 2016.
Nous avions alors évoqué « le silence coupable » de l'entreprise, qui avait attendu deux ans pour prévenir ses utilisateurs. Cette fois, c'est encore pire : le vol de données dévoilé mercredi, encore plus massif, a eu lieu en 2013...
Comme il est d'usage dans pareille situation de crise, Yahoo! invoque dans un communiqué avoir appris l'existence de l'attaque après « une enquête récente », et assure n'avoir pas vu le piratage au moment où il avait lieu. Est-il possible que le moteur de recherche ait découvert fin 2016 une attaque aussi pharaonique remontant à 2013 ? Clairement, non : il y a forcément eu des signes, des alertes. Mais les choses sont peut-être plus complexes : en cybersécurité, il est très compliqué d'avoir des certitudes, et les normes de sécurité en 2013 étaient très différentes de celles d'aujourd'hui.
Sécurité contre image de marque
En cas de cyberattaque, les entreprises ne sont généralement pas face à une situation binaire, « blanc ou noir », où tout est clair. Elles ont des doutes, observent des flux de données plus ou moins suspects, des accès plus ou moins normaux à certaines parties sensibles des serveurs informatiques. En France, en cas de doute, les victimes potentielles font appel à l'agence de cyberdéfense (ANSSI), qui envoie parfois ses experts pour essayer d'éclaircir des situations incertaines.
En 2013, alors que les révélations d'Edward Snowden sur la surveillance massive d'Internet par le gouvernement américain via l'agence nationale de sécurité (NSA) émergeaient juste, le chiffrement des données n'était pas encore la norme. Google, par exemple, a annoncé le chiffrement de son réseau mondial en... novembre 2013. Chez la plupart des fournisseurs de services, dont Yahoo!, les procédures étaient jusqu'alors assez floues. Certaines équipes ne comprenaient pas vraiment l'ensemble du fonctionnement du réseau, où chaque information est aujourd'hui encore répliquée par sécurité sur de nombreux « miroirs », qu'il faut aussi sécuriser, tout en protégeant le transit des données. Depuis le scandale lié à l'espionnage d'Internet par la NSA et par d'autres agences de renseignement dans le monde, les procédures chez les géants de la Silicon Valley sont devenues beaucoup plus strictes, et des éléments ont pu émerger pour confirmer des suspicions d'attaques passées.
L'agence de cyberdéfense américaine ? La NSA !
Avec des informations partielles fournies par leurs équipes et parfois par les agences de cyberdéfense (dans le cas des États-Unis, c'est aussi la NSA qui assure ce rôle* : on apprécie le mélange des genres...), les dirigeants d'entreprises doivent savamment placer le curseur entre la protection de leur image de marque et celle de leurs utilisateurs. C'est sur le positionnement de ce curseur que les utilisateurs peuvent les juger. En pleine négociation avec Verizon pour le rachat de son cœur de métier (les services Internet) pour 4,8 milliards de dollars, Yahoo! a dévoilé les attaques le plus tard possible, lorsqu'elles étaient avérées.
Même s'il n'avait probablement « que » de sérieux doutes, le groupe a clairement fait le choix de protéger son image de marque au détriment de la sécurité des utilisateurs, qui ont continué à utiliser leurs comptes et leurs mots de passe pendant deux à trois ans (une éternité sur Internet !).
* La Maison-Blanche a fait le choix, comme de nombreux pays dans le monde, de regrouper au sein de la même agence (la NSA) les fonctions cyber offensives et défensives, ce qui complique les relations avec les partenaires. En France, seule la cyberdéfense est confiée à l'ANSSI, alors que les capacités offensives dépendent du ministère de la Défense.
Nous avions alors évoqué « le silence coupable » de l'entreprise, qui avait attendu deux ans pour prévenir ses utilisateurs. Cette fois, c'est encore pire : le vol de données dévoilé mercredi, encore plus massif, a eu lieu en 2013...
Comme il est d'usage dans pareille situation de crise, Yahoo! invoque dans un communiqué avoir appris l'existence de l'attaque après « une enquête récente », et assure n'avoir pas vu le piratage au moment où il avait lieu. Est-il possible que le moteur de recherche ait découvert fin 2016 une attaque aussi pharaonique remontant à 2013 ? Clairement, non : il y a forcément eu des signes, des alertes. Mais les choses sont peut-être plus complexes : en cybersécurité, il est très compliqué d'avoir des certitudes, et les normes de sécurité en 2013 étaient très différentes de celles d'aujourd'hui.
Sécurité contre image de marque
En cas de cyberattaque, les entreprises ne sont généralement pas face à une situation binaire, « blanc ou noir », où tout est clair. Elles ont des doutes, observent des flux de données plus ou moins suspects, des accès plus ou moins normaux à certaines parties sensibles des serveurs informatiques. En France, en cas de doute, les victimes potentielles font appel à l'agence de cyberdéfense (ANSSI), qui envoie parfois ses experts pour essayer d'éclaircir des situations incertaines.
En 2013, alors que les révélations d'Edward Snowden sur la surveillance massive d'Internet par le gouvernement américain via l'agence nationale de sécurité (NSA) émergeaient juste, le chiffrement des données n'était pas encore la norme. Google, par exemple, a annoncé le chiffrement de son réseau mondial en... novembre 2013. Chez la plupart des fournisseurs de services, dont Yahoo!, les procédures étaient jusqu'alors assez floues. Certaines équipes ne comprenaient pas vraiment l'ensemble du fonctionnement du réseau, où chaque information est aujourd'hui encore répliquée par sécurité sur de nombreux « miroirs », qu'il faut aussi sécuriser, tout en protégeant le transit des données. Depuis le scandale lié à l'espionnage d'Internet par la NSA et par d'autres agences de renseignement dans le monde, les procédures chez les géants de la Silicon Valley sont devenues beaucoup plus strictes, et des éléments ont pu émerger pour confirmer des suspicions d'attaques passées.
L'agence de cyberdéfense américaine ? La NSA !
Avec des informations partielles fournies par leurs équipes et parfois par les agences de cyberdéfense (dans le cas des États-Unis, c'est aussi la NSA qui assure ce rôle* : on apprécie le mélange des genres...), les dirigeants d'entreprises doivent savamment placer le curseur entre la protection de leur image de marque et celle de leurs utilisateurs. C'est sur le positionnement de ce curseur que les utilisateurs peuvent les juger. En pleine négociation avec Verizon pour le rachat de son cœur de métier (les services Internet) pour 4,8 milliards de dollars, Yahoo! a dévoilé les attaques le plus tard possible, lorsqu'elles étaient avérées.
Même s'il n'avait probablement « que » de sérieux doutes, le groupe a clairement fait le choix de protéger son image de marque au détriment de la sécurité des utilisateurs, qui ont continué à utiliser leurs comptes et leurs mots de passe pendant deux à trois ans (une éternité sur Internet !).
* La Maison-Blanche a fait le choix, comme de nombreux pays dans le monde, de regrouper au sein de la même agence (la NSA) les fonctions cyber offensives et défensives, ce qui complique les relations avec les partenaires. En France, seule la cyberdéfense est confiée à l'ANSSI, alors que les capacités offensives dépendent du ministère de la Défense.