En septembre dernier, Yahoo! avouait avoir subi une attaque en 2014. 500 millions de comptes e-mails de ses utilisateurs avaient alors été piratés. Selon moi, il ne s’agissait alors que de la partie émergée de l’iceberg. Je n’avais pas tort puisque la firme américaine vient d’annoncer que 1 milliard de comptes d’utilisateurs ont été rapatriés par les hackers lors d’une autre attaque. Pour les pirates, l’opération n’a pas été si compliquée que cela, puisque selon les sociétés spécialisées, l’éditeur dispose de systèmes de sécurité assez faibles.
Pourquoi les pirates s’attaquent aux comptes e-mails de Yahoo! ?
Qu’il s’agisse de Yahoo! ou d’un autre service, les comptes de messagerie sont des cibles de choix pour les criminels. L’e-mail reste la meilleure façon pour les criminels de pénétrer les organisations les plus importantes du monde. Elles peuvent y avoir accès à partir de comptes personnels et notamment ceux de Yahoo!. Sachez également que lorsqu’un cybercriminel pénètre dans votre compte de messagerie, il peut également vous dérober des informations sensibles telles que votre nom, votre date de naissance, vos anciens mots de passe et même vos questions et réponses de sécurité. Cette intrusion leur permet de faire sauter bien d’autres verrous grâce à ces informations.
Comment les pirates ont pu facilement récupérer 1 milliard de comptes
A priori, il semble que les hackers aient réussi à transférer l’ensemble des comptes en exploitant une grosse faille du système de sécurité. Pour cela, ils ont procédé au chiffrement des paquets de données. Egalement appelé à tort « cryptage », le chiffrement consiste à coder numériquement les données pour les rendre totalement impossibles à lire. Par analogie, imaginez que ces données sont enfermées dans un coffre avec un cadenas et que la clé appartient uniquement aux pirates. Les « gendarmes » de Yahoo! n’ont vu qu’une boîte passer sans se soucier de ce qu’elle contenait, ni de la façon dont elle sortait ou rentrait dans le réseau.
En outre, les cabinets de sécurité qui ont analysé les systèmes de protections de Yahoo! confirment tous que le procédé de sécurité employé par la firme est totalement obsolète et constitue une véritable passoire pour protéger les mots de passe des utilisateurs. Enfin, il semble que les pirates aient utilisé la même porte dérobée que lors des précédentes attaques de Yahoo! pour commettre leur méfait.
Les portes secrètes de la NSA utilisées par les cybercriminels ?
Et ce qui est peut-être le plus inquiétant est que cette porte a été mise en place par Yahoo!. En effet selon un ancien ingénieur de sécurité de la firme, Yahoo ! a installé une porte dérobée qui permet à la NSA de lire tous les emails des utilisateurs. Il se trouve que cette porte est masquée aux propres équipes de sécurité de Yahoo!.
Le souci, c’est que des hackers peuvent très bien trouver cette porte et l’utiliser sans que personne ne le sache. C’est pourquoi, lorsque Bob Lord, le responsable de la sécurité de Yahoo!, a déclaré que « des mesures avaient été prises pour sécuriser les comptes qui ont été piratés », il est difficile de savoir si elles ont été efficaces. Que faire si les comptes restants ont été piratés sans qu’aucune preuve n’ait été laissée ?
Sachez également que beaucoup d’organisations sont parfois piratées de la même manière que Yahoo! mais sans en avoir la connaissance car elles ne mènent aucune investigation. Pour Kevin Bocek, responsable de la stratégie de sécurité de Venafi Labs, cette désinvolture face à la menace n’a rien de surprenant : « nous constatons que beaucoup de grandes organisations, même avec de gros investissements dans leur système de sécurité, n’ont pas la visibilité nécessaire ou la possibilité de contrôler le chiffrement qu’elles produisent pour protéger leurs données sensibles. ». Autrement dit, malgré leurs moyens, ces sociétés ne sont ni au courant qu’une attaque a été menée, ni suffisamment armées pour y faire face.
Que faire si le mal est fait ?
Alors, que faire si vous êtes doté d’un compte Yahoo! ?
- Si vous avez changé votre mot de passe après le signalement du précédent piratage, le compte devrait être en sécurité depuis ce qui s’est passé en 2013. Toutefois, ce mot de passe doit être long et compliqué.
- Si vous ne l’avez pas changé, remplacez-le immédiatement. N’oubliez pas de le faire si vous exploitez le système de publication de photos Flickr qui appartient à Yahoo. Faites de même si, comme de très nombreux utilisateurs, vous employez le même sésame pour l’ensemble de vos comptes. C’est dans cette situation que ce vol d’identifiant est le plus dangereux.
- Enfin, en mesure radicale, il est également possible d’abandonner Yahoo en désactivant votre compte via les instructions livrées sur cette page.
La parade imparable de la double-authentification
Avant d’en arriver à ce stade, il est toujours possible d’utiliser une méthode de sécurisation infaillible jusqu’à maintenant : la double-authentification. Disponible chez de nombreux services de messagerie (Gmail, Outlook.com…), elle permet de protéger un compte en saisissant le mot de passe, mais aussi un code unique reçu pour chaque connexion via un SMS sur un mobile. Cette solution imparable nécessite toutefois de disposer de votre téléphone à proximité. Vous trouverez sur cette page les instructions pour activer ce système de double-authentification.
Bien sûr, les pirates réussiront toujours à pénétrer un réseau s’ils sont vraiment déterminés à le faire. Toutefois, en mettant en place ce procédé, cela complique leur manœuvre et les incite à aller « voir ailleurs ».
Reste que cette histoire nous apprend qu’il est possible d’accéder et de voler des données pendant plusieurs années sans qu’aucune détection ne soit possible. Cette responsabilité de la part d’un service comme Yahoo!, ou une autre société, est tout simplement inacceptable.
[Notre spécialiste vous en dit plus sur ces nouveaux pirates du web et vous montre surtout comment vous en protéger en 3 minutes dans son message exclusif… Lisez le vite en cliquant ici !]