Vols massifs : réflexions d'experts sur le cas Yahoo!

 

 

Vols massifs : réflexions d'experts sur le cas Yahoo!

 

 

Jeremiah Grossman, Responsable de la Stratégie de Sécurité chez SentinelOne (précédemment « infosec officer » chez Yahoo! pendant deux ans) :

·         Yahoo!, comme quelques autres grandes entreprises, a des réseaux vastes et tentaculaires comptant des centaines de milliers d'utilisateurs. Cela représente une énorme surface d'attaque pour quiconque souhaite se protéger efficacement, tout le temps. De ce fait, il n’est pas surprenant que des incidents même de cette ampleur, ait lieu. Yahoo! n’est certainement pas le premier, et il ne sera pas le dernier.



·         En raison de la taille de Yahoo!, le groupe a souvent dû compter sur des solutions technologiques propriétaire car, historiquement, peu de produits sur le marché sont capables d’évoluer pour répondre aux exigences de leur système. Il se pourrait que cette approche ait créé des lacunes au sein de leur programme de sécurité car Yahoo! n’est pas en mesure d'utiliser les produits de sécurité de pointe conçus pour contrecarrer les menaces actuelles.

·         Il y a encore beaucoup de questions sans réponse pour le moment, la plus grande étant que si nous savons que les informations ont été volées fin 2014, en revanche nous ne disposons d'aucune indication quant au moment où Yahoo! a appris ce piratage. Ceci est un détail important dans cette histoire quand on lit certaines critiques.

·         De plus, il y a des points auxquels il faut répondre notamment la déclaration de Yahoo! disant que le piratage aurait été effectué sous l’égide d’un État. Les attaquants opérants pour un État ne partagent généralement pas publiquement des données volées, ni ne les vendent, comme c’est le cas avec le groupe de pirates "Peace of Mind" qui cherche à faire des profits. Peace of Mind était sur le point de vendre les données qu’il a dérobé à Yahoo!, il est donc peu probable qu'il ait été parrainé par un État. Et si toutefois c’était le cas, cela pourrait signifier que nous pourrions avoir potentiellement affaire à deux cas de piratage différents de Yahoo! avec deux groupes de pirates qui auraient accédé à leur système.



·         En termes de motivation visant à expliquer pourquoi un État pourrait cibler Yahoo!, il y a des parallèles entre cette affaire et les attaques ayant ciblées Google en 2010 lors de l’opération Aurora. Je dirais que l'État belligérant qui ciblerait des réseaux tels que ceux de Yahoo! le ferait parce que le groupe représente une source précieuse d'informations sur la stratégie potentielle de votre adversaire. Si vous êtes un État et que vous souhaitez déterminer si l'un de vos espions en activité a été découvert, vous mettez des robinets sur Google, Yahoo!, Microsoft, etc. plutôt que sur les réseaux gouvernementaux. Bien sûr, il y a toujours la motivation de pouvoir nommer des dissidents politiques.

·         Il y a beaucoup de mauvais conseils envoyés aux utilisateurs affectés. Alors que Yahoo! n'a aucune preuve que les attaquants soient encore actuellement dans le réseau, à titre de précaution, je recommande de changer immédiatement non seulement votre mot de passe Yahoo!, mais plus important encore, ceux des autres comptes pour lesquels vous pourriez avoir utilisé les mêmes identifiants. Les attaquants vont certainement tirer parti des identifiants dérobés pour les tester sur plusieurs services jusqu'à ce qu'ils réussissent.

 

 Joël Mollo, Directeur EMEA de Skyhigh Networks :
 
Lorsqu’un service cloud populaires tel que Yahoo est piraté, la première réaction des entreprises devrait être de vérifier le « qui, quoi, quand, et où » concernant l'utilisation de l'application et applications liées au sein de l'entreprise. Dans le cas d'un piratage de cette envergure, les entreprises se doivent d’avoir un plan d'intervention bien huilé. Tout d'abord, il convient de mesurer l'exposition que peut faire courir ce piratage à l’entreprise en identifiant le nombre d'employés utilisant ce service web. Ensuite, il faut prendre des mesures afin de prévenir les menaces immédiates en incitant les employés à changer leurs mots de passe. Enfin les entreprises peuvent envisager de bloquer temporairement le téléchargement de données sur le service concerné afin d'éviter d'autres dommages.
 
Les retombées d'une fuite de données ne s’arrêtent pas là et le plan de réponse des entreprises non plus. Les employés réutilisent souvent les mots de passe, et les pirates peuvent utiliser des mots de passe volés pour accéder à d'autres comptes. Les entreprises doivent donc mettre en œuvre des analyses comportementales pour surveiller les activités suspectes entre les comptes affectés - l'équivalent informatique de la surveillance d’un compte bancaire après un piratage.
 
Voici quelques données utilisateurs concernant les applications de Yahoo! :
 
Flickr (classé n°8 sur la liste des services cloud grand public en nombre d'utilisateurs)
• Nombre moyen d'utilisateurs en entreprise : 3 651
• Pourcentage d’entreprises avec plus de 100 utilisateurs : 82 %
 
Tumblr (classé n °13 sur la liste des services cloud grand public en nombre d'utilisateurs)
• Nombre moyen d'utilisateurs en entreprise : 2 588
• Pourcentage d’entreprises avec plus de 100 utilisateurs : 81 %
 
Yahoo! Mail (classé n°14 sur la liste des services cloud grand public en nombre d'utilisateurs)
• Nombre moyen d'utilisateurs en entreprise : 1 753
• Pourcentage d’entreprises avec plus de 100 utilisateurs : 70 %
 
Yahoo! Music
• Nombre moyen d'utilisateurs en entreprise : 406
• Pourcentage d’entreprises avec plus de 100 utilisateurs : 34 %
 
Un rapport de Digital Shadow montrait récemment que les derniers piratages de services web majeurs (comme Adobe, LinkedIn ou Myspace par exemple) induisent que pour 1 000 des plus importantes sociétés mondiales, près 5 millions d'identifiants de salariés seraient désormais à vendre sur le darknet. Les piratages d’identifiants (login et mots de passe) utilisés pour accéder à des services web ne sont donc pas aussi anodins que ce que les utilisateurs pourraient le penser. C’est d’autant plus inquiétant lorsque l’on sait que de nombreux utilisateurs ont la fâcheuse mauvaise habitude de réutiliser un mot de passe pour plusieurs applications web, y compris pour les accès à des applications d’entreprise. Cette pratique de mot de passe unique fait peser un risque non négligeable sur l’ensemble des services si jamais le mot de passe vient à être découvert. 
 
L’utilisation de mots de passe trop simples est également source de problème puisqu’ils seront faciles à deviner. C’est une tendance que nous avons constaté lorsque Skyhigh Networks a analysé 11 millions de mots de passe mis en vente sur le Darkweb et utilisés pour accéder à des services Cloud. Parmi les observations qui sont remontées :
• 10,3 % des utilisateurs choisissent un des 20 mots de passe figurant parmi les plus courants (liste ci-après). Actuellement, en moins de 20 tentatives quelqu’un est susceptible de pirater un compte sur dix en moyenne.
• La suite “123456” représente 4,1 % des mots de passe
• 79,9 % des applications cloud acceptent l’utilisation de mots de passe faibles
• 31 % des utilisateurs réutilisent leurs mots de passe pour différents services
 
Ces chiffres montrent qu’il y a encore un travail conséquent à mener en matière de sensibilisation et d'information des utilisateurs sur l’importance d’utiliser un mot de passe fort et unique pour chaque service. Les différents fournisseurs de services cloud ont également un rôle clé à jouer. Premièrement, en favorisant l’utilisation de mots de passe forts ou des services tels que la double authentification. Deuxièmement, en informant leurs clients/utilisateurs dès qu’une compromission concernant leurs identifiants est constatée. »

 

Gary Rider, Vice President Sales chez Proofpoint

L'e-mail est la première menace en termes de cybersécurité et les cyber-criminels pénètrent dans les organisations les plus importantes du monde grâce à celui-ci. La récente brèche dont a été victime Yahoo est la preuve que ces criminels ciblent tout autant les boîtes de réception de sociétés que celle de l'utilisateur lambda et ce, avec la même agressivité.
 
L'e-mail est aujourd'hui un incontournable dans notre société du tout numérique et les cyber-assaillants travaillent constamment pour l'exploiter. Il créer un lien direct entre un cyber-criminel et sa victime. Si votre boite de messages personnelle est compromise, et qu'un attaquant usurpe votre identité, vous exposez instantanément vos contacts à une menace et permettez à l’intrus de réinitialiser tous les mots de passe de vos autres comptes. Vos informations d'identification de messagerie sont vos données les plus sensibles, les cybercriminels font donc tout pour les obtenir.
 

 
Bertrand Delabrouhe, Area Vice President Southern EMEA & Mediterranean chez Imperva

La facilité d'obtenir des tonnes de mots de passes volées, ajoutée au fait que les utilisateurs continueront toujours de réutiliser les mêmes mots de passe tout simplement parce qu'ils sont humains, font que les attaques par "brute force" sont plus efficaces que jamais, forçant les fournisseurs d'applications à prendre des mesures appropriées pour protéger leurs utilisateurs.

Les données issues de l'exploitation de failles sont une marchandise précieuse pour les deux acteurs de la sécurité que sont les professionnels de la protection et les pirates qui les vendent au marché noir.

Pour prévenir les attaques par "brute force", les services de sécurité ne devraient pas compter uniquement sur les politiques de mot de passe, mais devraient prendre des mesures de détection spécifiques comme le taux de tentatives de connexion, la détection de tentatives de connexion émanent de navigateurs automatisés, traiter avec attention les tentatives de connexions de pays inattendus et de sources anonymes et comparer les données de connexion aux mots de passe populaires et aux données volées.

Comme nous l'indiquons dans notre blog, il y a un nombre important de types de violations qui ont eu lieu en 2012, mais dont leur gravité a été sous-estimée et trop peu rapportée. Les organisations ne devraient pas se réjouir trop vite qu'il n'y ait pas de méga brèches en 2016 car elles pourraient le regretter en 2020.
 

 
Erwan Jouan, Territory Manager SEMEA chez Tenable Network Security

Avec les environnements informatiques professionnels toujours plus complexes et riches en données, il persiste toujours un fort risque de fuite de données clients vers le dark web. Pourtant alors que nous continuons d’ajouter des technologies de protection sur nos réseaux, les attaques deviennent de plus en plus sophistiquées. II est donc crucial que les organisations réagissent rapidement suite à une infraction pour en déterminer l’impact et mettre en place une approche solide de suivi des retombées post-violation.
 
Si vous avez un compte Yahoo! et que vous avez utilisé le même mot de passe sur d’autres sites, il serait judicieux de changer de mots de passe et d’en créer de nouveaux pour éviter le risque de propagation et de fuite de données personnelles sur d’autres comptes que vous utilisez.  Pour réduire l'impact de la prochaine violation de ce type qui est inévitable, les utilisateurs doivent se protéger en ayant des mots de passe individuels pour chaque service ou abonnement, là où très souvent ils n’en utilisent qu’un ou deux. Les navigateurs modernes ont pourtant la capacité de générer et de stocker des mots de passe complexes, tout comme d’ailleurs les nombreux gestionnaires de mots de passe.
 
Un des aspects les plus préoccupants de ce vol massif est le fait que les questions et réponses de sécurité (dites questions personnelles) n’étaient pas cryptées. La plupart des utilisateurs ont utilisé des réponses valides à ces questions comme le nom de jeune fille de leur mère, la marque de leur première voiture ou leur premier animal de compagnie…  des informations qui pourraient être exploitées par la suite lors de nouveaux abus.

 

M. Carrere, directeur commercial, Gémalto

 « Il est bien entendu inquiétant que Yahoo ait subi une brèche de données, mais ce qui est encore plus préoccupant est qu'il a fallu plus d'un mois pour la confirmer, en particulier dans la mesure où ce sont les informations personnels des consommateurs qui sont exposées. La bonne nouvelle c'est que les données sensibles qui sont maintenant en vente, telles que les noms d'utilisateur, adresses e-mail et dates de naissance, sont chiffrées - mais ces données pourraient être facilement déchiffrées si la société n'a pas mis en œuvre une gestion adéquate des clés de chiffrement. De plus, Yahoo aurait certainement pu en faire davantage pour éviter l'incident dans un premier temps, en mettant en place en interne l'authentification à deux facteurs qui peut protéger les employés en cas d'attaque de type hameçonnage. Il s'agit d'un problème mondial - notre Breach Level Index a révélé que 554 millions d'enregistrements de données ont été compromises au 1er semestre 2016. Toutefois, en implémentant de simples procédures de sécurité, les organisations à travers le monde pourraient assurer la protection de ces données. »

  

 

Kévin Bocek, VP Threat Intelligence and Security Strategy chez Venafi (spécialiste de la protection des clés et certificats):

  

" Il est quasi certain que les hackers ont utilisé le propre chiffrement de Yahoo contre lui. Il est impossible que toutes ces données puissent être volées sans le chiffrement déjà utilisé pour obtenir les données du réseau Yahoo. Si cela n'avait pas été le cas, les alarmes auraient sonné haut et fort. Fait inquiétant, c'est probablement pour cette raison que Yahoo ne saura pas si les hackers sont toujours actifs ou présent dans son système informatique comme ils pourraient utiliser le chiffrement pour paraître digne de confiance et avoir le droit d'être dans le réseau Yahoo. On peut se demander si Yahoo a remplacer ses clés de cryptage et ses certificats - si cela n'a pas été fait complètement, les 500 millions de comptes utilisateurs ne seront que la partie visible de l'iceberg et dans les prochaines semaines nous entendrons parler d'autres données et systèmes qui ont été compromis".

 

 

 BONUS: 

 

An Important Message to Yahoo Users on Security

September 22, 2016 02:28 PM Eastern Daylight Time

SUNNYVALE, Calif.--(BUSINESS WIRE)--A recent investigation by Yahoo! Inc. (NASDAQ:YHOO) has confirmed that a copy of certain user account information was stolen from the company’s network in late 2014 by what it believes is a state-sponsored actor. The account information may have included names, email addresses, telephone numbers, dates of birth, hashed passwords (the vast majority with bcrypt) and, in some cases, encrypted or unencrypted security questions and answers. The ongoing investigation suggests that stolen information did not include unprotected passwords, payment card data, or bank account information; payment card data and bank account information are not stored in the system that the investigation has found to be affected. Based on the ongoing investigation, Yahoo believes that information associated with at least 500 million user accounts was stolen and the investigation has found no evidence that the state-sponsored actor is currently in Yahoo’s network. Yahoo is working closely with law enforcement on this matter.

Yahoo is notifying potentially affected users and has taken steps to secure their accounts. These steps include invalidating unencrypted security questions and answers so that they cannot be used to access an account and asking potentially affected users to change their passwords. Yahoo is also recommending that users who haven’t changed their passwords since 2014 do so.

Yahoo encourages users to review their online accounts for suspicious activity and to change their password and security questions and answers for any other accounts on which they use the same or similar information used for their Yahoo account. The company further recommends that users avoid clicking on links or downloading attachments from suspicious emails and that they be cautious of unsolicited communications that ask for personal information. Additionally, Yahoo asks users to consider using Yahoo Account Key, a simple authentication tool that eliminates the need to use a password altogether.

Online intrusions and thefts by state-sponsored actors have become increasingly common across the technology industry. Yahoo and other companies have launched programs to detect and notify users when a company strongly suspects that a state-sponsored actor has targeted an account. Since the inception of Yahoo’s program in December 2015, independent of the recent investigation, approximately 10,000 users have received such a notice.

Additional information will be available on the Yahoo Security Issue FAQs page, https://yahoo.com/security-update, beginning at 11:30 am Pacific Daylight Time (PDT) on September 22, 2016.

About Yahoo

Yahoo is a guide to digital information discovery, focused on informing, connecting, and entertaining through its search, communications, and digital content products. By creating highly personalized experiences, Yahoo helps users discover the information that matters most to them around the world -- on mobile or desktop. Yahoo connects advertisers with target audiences through a streamlined advertising technology stack that combines the power of Yahoo's data, content, and technology. Yahoo is headquartered in Sunnyvale, California, and has offices located throughout the Americas, Asia Pacific (APAC) and the Europe, Middle East and Africa (EMEA) regions. For more information, visit the pressroom (pressroom.yahoo.net) or the Company's blog (yahoo.tumblr.com).

Statements in this press release regarding the findings of Yahoo’s ongoing investigation involve potential risks and uncertainties. The final conclusions of the investigation may differ from the findings to date due to various factors including, but not limited to, the discovery of new or additional information and other developments that may arise during the course of the investigation. More information about potential risks and uncertainties of security breaches that could affect the Company's business and financial results is included under the caption “Risk Factors” in the Company’s Quarterly Report on Form 10-Q for the quarter ended June 30, 2016, which is on file with the SEC and available on the SEC's website at www.sec.gov.

Yahoo!, the Yahoo family of marks, and the associated logos are trademarks and/or registered trademarks of Yahoo! Inc. Other names are trademarks and/or registered trademarks of their respective owners.

 https://yahoo.com/security-update

 

http://www.lemonde.fr/pixels/article/2016/09/23/les-principaux-vols-de-donnees-personnelles-depuis-2013_5002435_4408996.html?utm_medium=Social&utm_campaign=Echobox&utm_source=Twitter&utm_term=Autofeed#link_time=1474630288

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires