in

Piratage d’un milliard de comptes Yahoo! Commentaires de Skyhigh Networks et Varonis

Norman Girard, Vice Président et directeur général Europe de Varonis

« Le fait que ce soit la deuxième brèche de Yahoo! qui soit divulguée au cours des 3 derniers mois vient montrer quelle ampleur certaines fuites de données majeures peuvent avoir. Beaucoup d’organisations sont parfois piratées de la même manière que Yahoo! mais sans en avoir connaissance car elles ne mènent aucune investigation. »

« Bob Lord, le RSSI de Yahoo!, a déclaré que des mesures avaient été prises pour sécuriser les comptes qui ont été piratés. Je suis toujours sceptique de déclarations comme celle-ci. Comment en être sûr ? Que faire si les comptes restants ont été piratés sans qu’aucune preuve n’ait été laissée ? Nous n’avons aucune information sur ce que nous ne voyons pas. Vous en arrivez même presque à admettre le pire : l’intégralité de nos données a été compromise. Et ce qui est peut-être le plus inquiétant est que, selon un ancien ingénieur de sécurité, Yahoo! a installé une porte dérobée qui a permis à la NSA de lire tous les emails des utilisateurs derrière le dos de ses propres équipes de sécurité. Le problème concernant les backdoors c’est que personnes malveillantes peuvent les trouver également. »

« Les utilisateurs doivent faire davantage d’efforts pour créer de meilleurs mots de passe. Toutefois, les organisations ont également une responsabilité envers leurs partenaires, clients et employés en ce qui concerne la protection de leurs informations sensibles et la communication suite à une attaque. Très souvent, les failles sont confirmées, non pas par les équipes de sécurité d’une organisation, mais par la découverte et la confirmation de données divulguées sur le Dark Web. »

« Les organisations devraient prendre des mesures non seulement pour protéger les données, mais aussi pour fournir des preuves lorsque le pire se produit. La première étape dans une stratégie de sécurité des données devrait être d’auditer l’environnement informatique pour être en mesure a.) de voir qui accède aux données, quand et comment b.) d’établir des profils de comportements normaux, et c.) d’être alerter en cas l’abus. La deuxième étape devrait consister à identifier les données sensibles et à s’assurer que seules les bonnes personnes y ont accès (c’est-à-dire le principe du privilège le plus faible). La troisième étape consisterait à mettre en œuvre des processus automatisés et des procédures de vérifications humaines afin de s’assurer que les contrôles mis en œuvre restent en place afin de ne pas reculer vers un niveau qui ne serait plus sécurisé. »

« Fait intéressant, si Yahoo! n’avait pas mené d’enquête pour détecter des preuves d’intrusion, l’entreprise n’aurait peut-être jamais rien découvert « officiellement » des deux derniers vols de données, qui ont été dévastateurs pour son image et pourrait remettre en question son acquisition par Verizon. »

« Les exigences à venir concernant la notification des piratages constitueront également un nouveau poids pour les responsables de données. Dans le cadre du GDPR, le mantra de la sécurité informatique devrait être « toujours surveiller ». Il est impératif de pouvoir repérer les modèles d’accès inhabituels vers fichiers contenant des données personnelles et de signaler rapidement tout problème à l’autorité locale d’encadrement des données. Ne pas le faire peut conduire à des amendes conséquentes, en particulier pour les multinationales ayant d’importants revenus au niveau mondial.

« Les mots de passe volés ont été hachés avec un algorithme TRÈS faible (MD5 non salé), cependant, si les utilisateurs ont changé leur mot de passe après le signalement du précédent piratage, ils devraient être en sécurité depuis ce qui s’est passé en 2013. Fait intéressant, lorsque je tente de changer le mot de passe de mon compte Yahoo! en utilisant une chaîne aléatoire de 32 caractères proposée par l’application 1Password, je reçois un message d’erreur. Pourtant, Yahoo! me permet d’utiliser « thisismypassword »… »

Joël Mollo, Directeur Europe du Sud de Skyhigh Networks

« Yahoo! a de manière très embarrassante battu son propre record et divulgué le plus important vol de données de l’histoire. A ce stade, il semble que les choses ne puissent probablement pas empirer pour l’entreprise. Notre surprise initiale face à l’ampleur du piratage de Septembre vire à l’horreur quand on constate le niveau de la négligence dont l’entreprise a fait preuve en matière de protection des données sensibles qu’elle détient. Bien sûr, les pirates réussiront toujours à pénétrer un réseau s’ils sont vraiment déterminés à le faire, mais avoir la possibilité d’accéder et de voler des données encore et encore pendant plusieurs années sans aucune détection est tout simplement inacceptable. Que Verizon souhaite ou non poursuivre l’acquisition de Yahoo! est désormais une grande interrogation. C’est également un rappel à toutes les entreprises qu’un piratage peut avoir des conséquences désastreuses pour les plans d’une entreprise. »

« Si nombre de spécialistes pointent le problème de ce piratage pour les consommateurs, nous pointons pour notre part le risque qui peut en découler pour les entreprises. Chaque fois qu’un service cloud populaire comme Yahoo! est piraté, la réponse automatique de la part des entreprises devrait être de vérifier le « qui, quoi, quand et où » de l’utilisation de cette application au sein de l’entreprise. Dans le sillage d’un piratage tel que celui-ci, les entreprises doivent mesurer leur exposition possible à ce piratage en identifiant le nombre d’employés utilisant Yahoo!. En outre, les employés réutilisent souvent des mots de passe, et les pirates sont donc susceptibles d’utiliser ces mots de passe volés pour accéder à d’autres comptes comme nous l’avons vu récemment avec Deliveroo. Pour faire face à ce problème, les entreprises devraient mettre en œuvre des solutions d’analyses comportementales afin de surveiller les activités suspectes parmi les comptes affecté. »

« Le résultat final est que quiconque ne s’est pas inquiété de changer son mot de passe Yahoo! mis en place il y a longtemps doit comprendre que la menace est toujours présente. Le meilleur conseil désormais serait de fermer tous les services inutiles et de mettre à jour tous ses mots de passe. Ces jours-ci, de nombreux services en ligne supportent l’authentification multi-facteurs et ceux-ci devraient être mis en place et utilisés chaque fois que possible car entre cette affaire et celles de Tesco Bank et TalkTalk, il est devenu douloureusement évident que les pirates sont intelligents, persistants et sérieusement motivés.

Lors du précédent piratage, Skyhigh Networks avait extrait de son rapport annuel « Cloud Adoption & Rick Report » quelques données utilisateurs concernant l’utilisation des applications de Yahoo! en entreprise :

Flickr (classé n°8 sur la liste des services cloud grand public en nombre d’utilisateurs)

  • Nombre moyen d’utilisateurs en entreprise : 3 651
  • Pourcentage d’entreprises avec plus de 100 utilisateurs : 82 %

Tumblr (classé n °13 sur la liste des services cloud grand public en nombre d’utilisateurs)

  • Nombre moyen d’utilisateurs en entreprise : 2 588
  • Pourcentage d’entreprises avec plus de 100 utilisateurs : 81 %

Yahoo! Mail (classé n°14 sur la liste des services cloud grand public en nombre d’utilisateurs)

  • Nombre moyen d’utilisateurs en entreprise : 1 753
  • Pourcentage d’entreprises avec plus de 100 utilisateurs : 70 %

Yahoo! Music

  • Nombre moyen d’utilisateurs en entreprise : 406
  • Pourcentage d’entreprises avec plus de 100 utilisateurs : 34 %
Corinne
Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

Written by Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès.
Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication.
Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.