Le piratage de Yahoo! révèle de graves défaillances
Le piratage de Yahoo! révèle de graves défaillances
Par Damien Leloup, Florian Reynaud
La méthode utilisée par l’entreprise pour stocker les mots de passe de ses utilisateurs sur ses serveurs était vulnérable et déconseillée depuis la fin des années 2000.
En octobre, l’agence Reuters révélait que Yahoo! avait mis en place, à la demande d’une agence de renseignement américaine, un système de surveillance directement dans ses propres serveurs. | Robert Galbraith / Reuters
En annonçant, mercredi 14 décembre, avoir été victime du vol de données le plus important de l’histoire, le géant du web Yahoo! risque d’aggraver une réputation déjà bien entachée dans le domaine de la sécurité informatique. Depuis le premier vol massif dévoilé publiquement par l’entreprise en septembre dernier, ses pratiques internes ont été vivement critiquées. Protection des mots de passe, des questions secrètes, attaques découvertes tardivement, culture interne : les reproches ne manquent pas.
Un système de protection vulnérable
Les données dérobées par les pirates étaient certes protégées, mais la technologie utilisée par Yahoo! était très largement obsolète. Les mots de passe dérobés étaient chiffrés en utilisant une fonction cryptographique dite « MD5 » : les mots de passe n’étaient pas lisibles directement (on dit aussi qu’ils sont stockés « en clair »), mais ils étaient stockés sous la forme d’une série de caractères ressemblant à « s1f5ze7f8s54d52f4s5 ».
Problème : le MD5 est très loin d’être infaillible. Il est possible, avec quelques connaissances et un peu de temps, de retrouver le mot de passe original « en clair » à partir de la série de caractères. Les vulnérabilités du MD5 sont connues depuis longtemps, et son usage pour stocker des données cruciales est déconseillé depuis la fin des années 2000. Mais Yahoo! utilisait encore ce système en 2013, lorsqu’il a été piraté. En 2012, des hackers ayant réussi à voler des données à l’entreprise avaient même fait état de mots de passe conservés « en clair ».
Plus incompréhensible encore, Yahoo! reconnaît dans le communiqué annonçant ce piratage que les réponses aux « questions secrètes », qui permettent de récupérer son mot de passe en cas d’oubli, étaient pour certaines stockées « en clair ». L’entreprise n’a pas précisé quelle proportion des réponses était ainsi stockées sans aucune protection.
Yahoo! n’est pas la seule entreprise à avoir mal protégé les mots de passe et questions secrètes stockées sur ses serveurs. A la suite d’une attaque contre l’entreprise VTech, spécialisée dans les jouets connectés pour enfants, des hackers avaient réussi à voler de nombreuses données liées à des comptes d’utilisateurs, dont des mots de passe protégés par la fonction MD5, et des réponses aux « questions secrètes » en clair, selon le chercheur en sécurité informatique Troy Hunt.
Autre exemple : des données volées au réseau social professionnel LinkedIn en juin 2012 et concernant plus de 167 millions de comptes d‘utilisateurs ont révélé que l’entreprise chiffrait les mots de passe en utilisant l’algorithme SHA1, dont la fiabilité est régulièrement mise en cause par les spécialistes en sécurité informatique.
Un responsable de la sécurité gardé dans le noir
Yahoo! s’est aussi distingué, ces dernières années, en raison de sa culture de la sécurité interne et de ses pratiques de management un peu particulières. En octobre, l’agence Reuters révélait que l’entreprise avait mis en place, à la demande d’une agence de renseignement américaine, un système de surveillance directement dans ses propres serveurs. Le dispositif, qui n’est pas sans rappeler le projet de « boîtes noires » introduit en France dans la loi Renseignement – et qui n’a toujours pas été mis en place – était capable de détecter en temps réel la présence de « signatures numériques » dans des courriels.
L’existence de ce programme de surveillance de Yahoo! a été gardée largement secrète au sein de l’entreprise. Le directeur de la sécurité informatique de Yahoo!, Alex Stamos, n’était même pas au courant jusqu’à ce que le programme arrive à un stade avancé. En mai 2015, après avoir découvert ce qu’il pensait être un piratage externe, il avait alerté la direction de l’entreprise – et découvert qu’il s’agissait d’un programme interne, autorisé par la PDG, Marissa Mayer, qui ne l’avait pas mis au courant. M. Stamos avait alors démissionné de Yahoo!, avant d’être embauché par Facebook.
Des « cookies » contrefaits
Comme lors du précédent piratage en septembre, Yahoo! a découvert le vol de données après avoir été approchée par les forces de l’ordre, mais n’avait pas découvert l’intrusion elle-même. L’enquête a permis d’établir que ce deuxième piratage était le fait d’un groupe différent du premier, pour lequel Yahoo! avait accusé un « groupe soutenu par un Etat », sans le nommer. L’existence de deux piratages massifs et distincts laisse supposer que Yahoo! avait, en 2013, des failles de sécurité importantes, et l’existence d’autres piratages n’est pas à exclure.
Yahoo! a également révélé ce 14 décembre que le premier piratage avait été encore plus grave qu’initialement annoncé. En plus des données de 500 millions de comptes, les pirates s’étaient emparés de code informatique utilisé par Yahoo! pour authentifier les connexions de ses utilisateurs. « D’après l’enquête en cours, nous pensons qu’un tiers non autorisé a utilisé ce code pour apprendre à falsifier des “cookies” », ces petits fichiers qui enregistrent des informations sur un utilisateur. L’entreprise laisse entendre, sans toutefois l’affirmer, que ce vol d’informations a pu permettre d’accéder, par le biais de ces cookies contrefaits, au contenu de boîtes e-mail de ses utilisateurs.