1 milliards de comptes Yahoo ont été piratés, et qui dit autant de comptes compromis dit réactions malveillantes en chaîne, plus générales, pour les individus lambda comme pour les entreprises dont les collaborateurs possèdent de nombreux comptes Yahoo…
Yahoo! Mail est classé en quatorzième position sur la liste des services Cloud grand public en nombre d’utilisateurs, selon le rapport annuel de Skyhigh Networks « Cloud Adoption & Rick Report ». Le nombre moyen de ses utilisateurs en entreprise est de 1 753 sachant que le pourcentage d’entreprises avec plus de 100 utilisateurs l’utilisant est de 70 %. Mais d’autres applications Yahoo sont également utilisées en entreprise. Pour le partage de photos, Flickr (classé n°8 sur la liste des services Cloud grand public en nombre d’utilisateurs), avec un nombre moyen d’utilisateurs en entreprise de 3 651 (pourcentage d’entreprises avec plus de 100 utilisateurs : 82 %). Pour les blogs, Tumblr (classé n °13 sur la liste des services Cloud grand public en nombre d’utilisateurs), avec un nombre moyen d’utilisateurs en entreprise de 2 588 (pourcentage d’entreprises avec plus de 100 utilisateurs : 81 %). Pour le streaming musical, Yahoo! Music, avec un nombre moyen d’utilisateurs en entreprise de 406 (pourcentage d’entreprises avec plus de 100 utilisateurs : 34 %). Le piratage de 1 milliard de comptes utilisateurs est donc non seulement un risque pour les consommateurs lambda, mais aussi un danger pour l’entreprise.
« Chaque fois qu’un service Cloud populaire comme Yahoo! est piraté, la réponse automatique de la part des entreprises devrait être de vérifier le “qui, quoi, quand et où” de l’utilisation de cette application au sein de l’entreprise », conseille Joël Mollo, directeur Europe du Sud de Skyhigh Networks. « Dans le sillage d’un piratage tel que celui-ci, les entreprises doivent mesurer leur exposition possible à ce piratage en identifiant le nombre d’employés utilisant Yahoo!. En outre, les employés réutilisent souvent des mots de passe, et les pirates sont donc susceptibles d’utiliser ces mots de passe volés pour accéder à d’autres comptes comme nous l’avons vu récemment avec Deliveroo. »
Les FAI utilisent aussi Yahoo en marque blanche
Eldon Sprickerhoff, fondateur et chief security strategist du spécialiste de la cybersécurité eSentire va dans le même sens : “L’ampleur de cette brèche n’affecte pas seulement les détenteurs de compte Yahoo, elle s’étend à quiconque utilise les services de messagerie Web ». Avant de préciser : « Le plus grand risque, avec cette violation particulière, concerne les innombrables autres comptes de courrier électronique qui pourraient être touchés. Beaucoup de fournisseurs de services Internet (FAI), comme Rogers au Canada ou Sky UK au Royaume-Uni, ont choisi de ne pas créer leur propre système de courrier électronique. Au lieu de cela, ils utilisent en marque blanche Yahoo mail pour leurs titulaires de compte. Donc, si vous avez un compte de courrier Web Rogers ou Sky UK, cela signifie que vous avez en réalité un compte de messagerie Yahoo. » J.Paul Haynes, le CEO d’ eSentire, ajoute à ce commentaire : « Toute violation qui implique des informations personnelles – comme les noms, les adresses et les informations d’identification des utilisateurs – peut se répercuter sur ses victimes pendant des mois ou des années. Ces informations finissent généralement sur le dark Web, où elles sont recyclées par les acheteurs qui peuvent les utiliser pour commettre diverses formes de fraude. Les pirates informatiques peuvent également utiliser les informations d’identification pour accéder à d’autres systèmes, en particulier si la victime utilise des combinaisons de nom d’utilisateur et de mot de passe similaires pour d’autres comptes sur Internet. »
Identifiants de messagerie : première et principale porte d’entrée aux informations les plus sensibles
Pour Ryan Kalember, senior vice-président Cybersecurity Strategy chez Proofpoint, il est essentiel pour les consommateurs et les entreprises « de prendre conscience que leurs identifiants de messagerie sont la première et principale porte d’entrée à leurs informations les plus sensibles. L’annonce de cette nouvelle brèche chez Yahoo! conforte le fait que les comptes de messagerie sont des cibles de choix pour les criminels. L’email est la meilleure façon pour les cybercriminels de pénétrer les organisations les plus importantes du monde et ils ciblent les messageries et les informations personnelles avec la même agressivité. Si votre email personnel est compromis et qu’un pirate s’empare de votre identité, cela expose tous vos contacts à une menace immédiate et octroie à l’assaillant la possibilité de réinitialiser l’ensemble de vos mots de passe. En profitant des messageries, les pirates tirent parti de la confiance qu’il existe entre un expéditeur et son destinataire lors de l’envoi d’un message. Cette confiance est à la base de notre société numérique. Qu’il s’agisse d’un message personnel ou d’entreprise, le résultat est le même, la confiance est rompue et l’information se transforme en risque. »
En Allemagne, la BSI dit stop
La confiance est déjà effectivement rompue pour certains. En Allemagne, l’autorité fédérale en charge de la cybersécurité, la BSI, a conseillé aux détenteurs de comptes Yahoo d’envisager une solution plus sûre, en reprochant au groupe américain de ne pas avoir adopté des méthodes de cryptage moderne pour protéger les données personnelles de ses utilisateurs.
Un sénateur démocrate américaine a annoncé de son côté son intention d’enquêter sur les pratiques de Yahoo. “Cette nouvelle révélation mérite un suivi particulier et j’ai l’intention d’exiger de l’entreprise qu’elle explique pourquoi ses cyber-défenses ont été aussi faibles, au point de compromettre plus d’un milliard d’utilisateurs“, a déclaré Mark Warner, élu de Virginie.
Comment effectivement, croire que les comptes qui ont été piratés ont été sécurisés, comme l’indique Bob Lord, le RSSI de Yahoo ? « Je suis toujours sceptique de déclarations comme celle-ci, affirme Norman Girard, vice-président et directeur général Europe de Varonis. Comment en être sûr ? Que faire si les comptes restants ont été piratés sans qu’aucune preuve n’ait été laissée ? Nous n’avons aucune information sur ce que nous ne voyons pas. Vous en arrivez même presque à admettre le pire : l’intégralité de nos données a été compromise. »