L’année dernière, Yahoo a révélé s’être fait voler plus d’1,5 milliards de comptes d’utilisateurs. Voici comment ils ont géré une crise loin d’être terminée. (Partie 1)

SSP

Il est midi le 5 janvier 2017, au quatrième étage de l’hôtel Venetian de Las Vegas. À l’intérieur d’une salle de conférence à la décoration luxueuse sont disposées de grandes tables rondes nappées de blanc, face à une large scène. La plupart des places sont occupées. L’assistance est essentiellement composée d’hommes à la mine grave, patrons d’entreprises ou dépêchés par leur société pour assister à une série de conférences regroupées sous l’intitulé CyberSecurity Forum. Ce forum est organisé dans le cadre du CES ou Consumer Electronics Show – le plus grand salon d’innovation de la planète. Mais ici, pas un gadget en vue, juste un homme en costume sur scène et un grand écran sur lequel défilent des slides au fil de sa présentation. Pourtant, chaque participant a payé entre 550 et 1 700 dollars pour y assister. Ils sont venus pour lui.

venetianhotellasvegas
L’hôtel Venetian

Lui, c’est Hemanshu Nigam, le fondateur et directeur de SSP Blue, pour Safety, Security, and Privacy. Il s’agit de la plus importante société de conseil en sécurité numérique au monde, qui souffle à l’oreille des grandes entreprises comme des gouvernements. Parmi ses clients, il compte aussi bien Disney Interactive Studios que les Nations Unies et l’administration Obama. Le titre de sa conférence est « Inside a Cyber Attack ». Durant une trentaine de minutes, il va décortiquer dans un silence religieux ce qu’il se passe au sein d’une grande entreprise comme Yahoo lorsqu’elle est frappée par une cyberattaque, et les méthodes auxquelles ils ont recours pour gérer la situation.

Tous les regards sont rivés sur ses lèvres, chaque mot est happé par une cinquantaine de paires d’yeux dans l’espoir qu’il renferme une vérité miraculeuse qui les débarrassera à leur tour du problème qui les amène ici : comme gérer la crise que traverse une entreprise quand celle-ci a été victime d’une cyberattaque ?

Ils ont quelques raisons de se poser la question. Le nombre de cyberattaques est en hausse constante depuis 2010 et les scandales qui ont ébranlé les géants de la tech comme Yahoo, mais aussi MySpace, Sony, LinkedIn et Google ont tétanisé le reste de l’industrie. Ces incidents sont loin d’être des événements isolés. Dans un rapport daté d’avril 2016, Symantec révèle qu’en moyenne, les grandes entreprises qui ont un jour fait l’expérience d’une cyberattaque subissent 3,6 autres incidents du même type par la suite sans pouvoir les contrer. Mais le même rapport révèle qu’en 2015, 43 % des cyberattaques visaient des sociétés comptant moins de 250 employés. Personne n’est à l’abri.

« Qui d’entre vous ici présents a déjà fait l’expérience d’une cyberattaque ? » demande Hemanshu à l’assistance. Les mouches volent, pas un bras ne se lève. Il rit, bien conscient qu’aucune entreprise ne s’empresserait d’avouer publiquement qu’elle figure parmi les victimes. Certains sont même venus en soldats non identifiés : leurs badges n’indiquent le nom d’aucune entreprise, comme ce devrait être le cas. L’éminent conseiller en cyber-sécurité se joue de ces précautions. « Je m’en doutais. Mais il faut que vous compreniez qu’il n’existe que deux sortes d’entreprises : celles qui ont été piratées et celles qui ne le savent pas encore. »

ulyces-yahoosecu-02
Hemanshu Nigam
Crédits : SSP Blue

Cette phrase, empruntée au journaliste d’investigation britannique Misha Glenny, a marqué les esprits, et les rapports d’attaques qui nous parviennent à un rythme de plus en plus effréné depuis les six dernières années ne font que la confirmer. Les stars hollywoodiennes ont été piratées ; la NSA a été piratée plusieurs fois ; des élections ont été piratées dans différents endroits du monde. Et beaucoup d’entre nous l’ont été en même temps que les grands services web auxquels nous souscrivons qui ont subi des attaques massives.

Hemanshu Nigam a une petite idée de la raison pour laquelle personne dans la salle ne se presse pour répondre à sa question. « La réalité, c’est qu’une ou plusieurs personnes malintentionnées causent du tort à une entreprise et à ses clients », dit-il en appuyant sur chaque mot pour accentuer l’effet de ses propos. « Mais comme ils ne peuvent pas mettre de visage ou de nom sur les criminels, les médias ne pointent du doigt que l’incompétence de l’entreprise. »

Pour lui, c’est le poids de la responsabilité et de la culpabilité qui réduit le public de la conférence au silence. « Aujourd’hui, personne ne vous en voudra. Mais lorsque CNN vous contacte pour savoir ce qu’il s’est passé, vous ne pouvez pas rester silencieux indéfiniment, il faut trouver quelque chose à dire. »

Entre la découverte d’une cyberattaque dans le réseau de Yahoo et le moment où un porte-parole de l’entreprise répond aux micros tendus qu’il ne peut en dire plus car une enquête est en cours, un processus complexe s’est déroulé en interne. Ce processus reste en bonne partie inconnu du grand public. Et le grand public n’a pas 550 dollars à débourser pour écouter les révélations du patron de SSP Blue à ce sujet.

Peace

Bob Lord ne se fait jamais de cheveux blancs, pour la simple raison qu’il est chauve. Mais il n’a pas le métier le plus simple du monde – ce n’est rien de le dire. En tant que responsable de la sécurité des systèmes d’information de Yahoo, il a la lourde tâche d’être celui qui annonce la mauvaise nouvelle aux utilisateurs du service lorsque quelque chose va de travers. Et au cours de l’année qui vient de s’écouler, on peut raisonnablement estimer que tout ne s’est pas passé comme la firme californienne l’escomptait.

Les ennuis ont débuté à l’été 2016, quand un hacker russe du nom de peace_of_mind, ou « Peace », s’est mis à vendre des volumes massifs de données personnelles sur la marketplace du dark web TheRealDeal – un marché noir accessible via le réseau informatique Tor, sur lequel s’échangent toutes sortes de produits illégaux contre des bitcoins, dans un complet anonymat. Les départements sécurité de tous les grands noms de l’industrie de la tech se sont retrouvés instantanément sur la brèche. En deux semaines, Peace a mis en vente 167 millions de comptes d’utilisateurs LinkedIn, 360 millions de comptes MySpace, 68 millions de comptes Tumblr, 71 millions de comptes Twitter, 100 millions de comptes provenant du réseau social russe VK, et, le lundi 25 juillet 2016, 200 millions de comptes volés aux utilisateurs de Yahoo.

1470076043637288
Les données vendues par Peace

À l’époque, un porte-parole de Yahoo a répondu aux journalistes de Motherboard qu’ils étaient « au courant de cette affirmation », sans plus de commentaires. Il semblerait que la plupart des comptes piratés et vendus pour trois bitcoins par Peace (environ 1 800 euros) correspondent bel et bien à des comptes d’utilisateurs en service. Mais ce n’était qu’un début.

Dans l’après-midi du 22 septembre, Bob Lord a publié sur le blog de l’entreprise « Un message important à propos de la sécurité des utilisateurs de Yahoo ». Il y révélait qu’une enquête menée par leur département sécurité a conduit à la découverte du vol de plus de 500 millions de comptes d’utilisateurs dans le réseau de Yahoo, à la fin de l’année 2014. Ces pirates non identifiés auraient été « soutenus par un gouvernement » et ne disposeraient d’aucune information bancaire appartenant aux utilisateurs. Ajoutant que Yahoo travaille étroitement avec les autorités pour faire la lumière sur l’affaire, Bob Lord n’en disait pas davantage, prodiguant uniquement des conseils de sécurité aux utilisateurs pour se prémunir le plus efficacement possible de ce genre de désagréments. La compagnie est retournée au silence, les médias ont tenté de comprendre comment un tel événement avait pu arriver.

Six ans plus tôt, des pirates agissant pour le compte du gouvernement chinois avaient lancé une cyberattaque de grande ampleur contre plusieurs grandes entreprises américaines, parmi lesquelles Google et Yahoo. Révélée le 12 janvier 2010 par Google, l’opération baptisée Aurora a laissé un goût amer dans la bouche de Sergey Brin, le co-fondateur du géant de la Silicon Valley. À la suite de l’attaque, Google a engagé des centaines d’ingénieurs pour bétonner sa sécurité et investi des centaines de millions de dollars dans son infrastructure.

De son côté, Yahoo aurait été lent à faire le nécessaire pour se prémunir des assauts des hackers, d’après les révélations d’employés de la firme faites au New York Times. Marissa Mayer, directrice de Yahoo depuis 2012, aurait selon eux négligé la question et préféré miser en priorité sur la rénovation de Yahoo Mail et le développement de nouveaux produits. Des choix malavisés et lourds de conséquences, si tel est vraiment le cas. En deux ans, le vol des 500 millions de comptes d’utilisateurs est passé inaperçu aux yeux des techniciens de Yahoo.

ulyces-yahoosecu-03
Bob Lord
Crédits : Yahoo

Un mois après son annonce terrifiante, Bob Lord est apparu souriant sur la scène de la Structure Security 2016 de San Francisco, une conférence axée sur la sécurité informatique. Il y a expliqué que les deux attaques ne semblaient pas être liées « malgré leur date rapprochée », et que c’est en enquêtant sur les déclarations de Peace que Yahoo avait découvert cette nouvelle catastrophe. Lord n’a pas donné plus de détails, expliquant qu’il ne pouvait risquer de compromettre l’enquête en cours.

Finalement, le 14 décembre 2016, après deux mois de silence radio, le responsable de la sécurité des systèmes d’information de Yahoo a publié une nouvelle déclaration, plus effroyable encore. Dans son « Information de sécurité importante pour les utilisateurs de Yahoo », Lord a averti leurs utilisateurs que les enquêteurs avaient découvert qu’un autre vol avait eu lieu, cette fois de plus d’un milliard de comptes d’utilisateurs. Il s’agit là du piratage de données utilisateurs le plus massif jamais connu. Il aurait été perpétré par « une tierce partie non-autorisée » en août 2013 – et découvert plus de trois ans après le crime. Yahoo assure que ces événements ne sont pas liés avec ceux de septembre et que là aussi, aucune information bancaire n’a été dérobée. Bob Lord n’en a pas dit davantage sur l’affaire et ajoute les recommandations de sécurité d’usage.

Cette fois-ci, les médias sont restés abasourdis par l’ampleur de nouvelle, aucune autre information n’a filtré que celles fournies par Lord. L’enquête en cours l’empêcherait de dire quoi que ce soit de plus ou d’approfondir les hypothèses de son rapport. Mais en réalité, Yahoo en sait-il seulement davantage ? Rien n’est moins sûr.

LISEZ ICI LA SUITE DE L’HISTOIRE

COMMENT YAHOO PARVIENT
À GARDER LE SILENCE


Couverture : Le siège de Yahoo.