par Legs McNeil | 0 min | 9 janvier 2017

SSP

Il est midi le 5 janvier 2017, au quatrième étage de l’hô­­tel Vene­­tian de Las Vegas. À l’in­­té­­rieur d’une salle de confé­­rence à la déco­­ra­­tion luxueuse sont dispo­­sées de grandes tables rondes nappées de blanc, face à une large scène. La plupart des places sont occu­­pées. L’as­­sis­­tance est essen­­tiel­­le­­ment compo­­sée d’hommes à la mine grave, patrons d’en­­tre­­prises ou dépê­­chés par leur société pour assis­­ter à une série de confé­­rences regrou­­pées sous l’in­­ti­­tulé CyberSe­­cu­­rity Forum. Ce forum est orga­­nisé dans le cadre du CES ou Consu­­mer Elec­­tro­­nics Show – le plus grand salon d’in­­no­­va­­tion de la planète. Mais ici, pas un gadget en vue, juste un homme en costume sur scène et un grand écran sur lequel défilent des slides au fil de sa présen­­ta­­tion. Pour­­tant, chaque parti­­ci­­pant a payé entre 550 et 1 700 dollars pour y assis­­ter. Ils sont venus pour lui.

venetianhotellasvegas
L’hô­­tel Vene­­tian

Lui, c’est Heman­­shu Nigam, le fonda­­teur et direc­­teur de SSP Blue, pour Safety, Secu­­rity, and Privacy. Il s’agit de la plus impor­­tante société de conseil en sécu­­rité numé­­rique au monde, qui souffle à l’oreille des grandes entre­­prises comme des gouver­­ne­­ments. Parmi ses clients, il compte aussi bien Disney Inte­­rac­­tive Studios que les Nations Unies et l’ad­­mi­­nis­­tra­­tion Obama. Le titre de sa confé­­rence est « Inside a Cyber Attack ». Durant une tren­­taine de minutes, il va décor­­tiquer dans un silence reli­­gieux ce qu’il se passe au sein d’une grande entre­­prise comme Yahoo lorsqu’elle est frap­­pée par une cybe­­rat­­taque, et les méthodes auxquelles ils ont recours pour gérer la situa­­tion. Tous les regards sont rivés sur ses lèvres, chaque mot est happé par une cinquan­­taine de paires d’yeux dans l’es­­poir qu’il renferme une vérité mira­­cu­­leuse qui les débar­­ras­­sera à leur tour du problème qui les amène ici : comme gérer la crise que traverse une entre­­prise quand celle-ci a été victime d’une cybe­­rat­­taque ? Ils ont quelques raisons de se poser la ques­­tion. Le nombre de cybe­­rat­­taques est en hausse constante depuis 2010 et les scan­­dales qui ont ébranlé les géants de la tech comme Yahoo, mais aussi MySpace, Sony, LinkedIn et Google ont téta­­nisé le reste de l’in­­dus­­trie. Ces inci­­dents sont loin d’être des événe­­ments isolés. Dans un rapport daté d’avril 2016, Syman­­tec révèle qu’en moyenne, les grandes entre­­prises qui ont un jour fait l’ex­­pé­­rience d’une cybe­­rat­­taque subissent 3,6 autres inci­­dents du même type par la suite sans pouvoir les contrer. Mais le même rapport révèle qu’en 2015, 43 % des cybe­­rat­­taques visaient des socié­­tés comp­­tant moins de 250 employés. Personne n’est à l’abri. « Qui d’entre vous ici présents a déjà fait l’ex­­pé­­rience d’une cybe­­rat­­taque ? » demande Heman­­shu à l’as­­sis­­tance. Les mouches volent, pas un bras ne se lève. Il rit, bien conscient qu’au­­cune entre­­prise ne s’em­­pres­­se­­rait d’avouer publique­­ment qu’elle figure parmi les victimes. Certains sont même venus en soldats non iden­­ti­­fiés : leurs badges n’in­­diquent le nom d’au­­cune entre­­prise, comme ce devrait être le cas. L’éminent conseiller en cyber-sécu­­rité se joue de ces précau­­tions. « Je m’en doutais. Mais il faut que vous compre­­niez qu’il n’existe que deux sortes d’en­­tre­­prises : celles qui ont été pira­­tées et celles qui ne le savent pas encore. »

ulyces-yahoosecu-02
Heman­­shu Nigam
Crédits : SSP Blue

Cette phrase, emprun­­tée au jour­­na­­liste d’in­­ves­­ti­­ga­­tion britan­­nique Misha Glenny, a marqué les esprits, et les rapports d’at­­taques qui nous parviennent à un rythme de plus en plus effréné depuis les six dernières années ne font que la confir­­mer. Les stars holly­­woo­­diennes ont été pira­­tées ; la NSA a été pira­­tée plusieurs fois ; des élec­­tions ont été pira­­tées dans diffé­­rents endroits du monde. Et beau­­coup d’entre nous l’ont été en même temps que les grands services web auxquels nous sous­­cri­­vons qui ont subi des attaques massives. Heman­­shu Nigam a une petite idée de la raison pour laquelle personne dans la salle ne se presse pour répondre à sa ques­­tion. « La réalité, c’est qu’une ou plusieurs personnes malin­­ten­­tion­­nées causent du tort à une entre­­prise et à ses clients », dit-il en appuyant sur chaque mot pour accen­­tuer l’ef­­fet de ses propos. « Mais comme ils ne peuvent pas mettre de visage ou de nom sur les crimi­­nels, les médias ne pointent du doigt que l’in­­com­­pé­­tence de l’en­­tre­­prise. » Pour lui, c’est le poids de la respon­­sa­­bi­­lité et de la culpa­­bi­­lité qui réduit le public de la confé­­rence au silence. « Aujourd’­­hui, personne ne vous en voudra. Mais lorsque CNN vous contacte pour savoir ce qu’il s’est passé, vous ne pouvez pas rester silen­­cieux indé­­fi­­ni­­ment, il faut trou­­ver quelque chose à dire. » Entre la décou­­verte d’une cybe­­rat­­taque dans le réseau de Yahoo et le moment où un porte-parole de l’en­­tre­­prise répond aux micros tendus qu’il ne peut en dire plus car une enquête est en cours, un proces­­sus complexe s’est déroulé en interne. Ce proces­­sus reste en bonne partie inconnu du grand public. Et le grand public n’a pas 550 dollars à débour­­ser pour écou­­ter les révé­­la­­tions du patron de SSP Blue à ce sujet.

Peace

Bob Lord ne se fait jamais de cheveux blancs, pour la simple raison qu’il est chauve. Mais il n’a pas le métier le plus simple du monde – ce n’est rien de le dire. En tant que respon­­sable de la sécu­­rité des systèmes d’in­­for­­ma­­tion de Yahoo, il a la lourde tâche d’être celui qui annonce la mauvaise nouvelle aux utili­­sa­­teurs du service lorsque quelque chose va de travers. Et au cours de l’an­­née qui vient de s’écou­­ler, on peut raison­­na­­ble­­ment esti­­mer que tout ne s’est pas passé comme la firme cali­­for­­nienne l’es­­comp­­tait. Les ennuis ont débuté à l’été 2016, quand un hacker russe du nom de peace_of_mind, ou « Peace », s’est mis à vendre des volumes massifs de données person­­nelles sur la market­­place du dark web TheRealDeal – un marché noir acces­­sible via le réseau infor­­ma­­tique Tor, sur lequel s’échangent toutes sortes de produits illé­­gaux contre des bitcoins, dans un complet anony­­mat. Les dépar­­te­­ments sécu­­rité de tous les grands noms de l’in­­dus­­trie de la tech se sont retrou­­vés instan­­ta­­né­­ment sur la brèche. En deux semaines, Peace a mis en vente 167 millions de comptes d’uti­­li­­sa­­teurs LinkedIn, 360 millions de comptes MySpace, 68 millions de comptes Tumblr, 71 millions de comptes Twit­­ter, 100 millions de comptes prove­­nant du réseau social russe VK, et, le lundi 25 juillet 2016, 200 millions de comptes volés aux utili­­sa­­teurs de Yahoo.

1470076043637288
Les données vendues par Peace

À l’époque, un porte-parole de Yahoo a répondu aux jour­­na­­listes de Mother­­board qu’ils étaient « au courant de cette affir­­ma­­tion », sans plus de commen­­taires. Il semble­­rait que la plupart des comptes pira­­tés et vendus pour trois bitcoins par Peace (envi­­ron 1 800 euros) corres­­pondent bel et bien à des comptes d’uti­­li­­sa­­teurs en service. Mais ce n’était qu’un début. Dans l’après-midi du 22 septembre, Bob Lord a publié sur le blog de l’en­­tre­­prise « Un message impor­­tant à propos de la sécu­­rité des utili­­sa­­teurs de Yahoo ». Il y révé­­lait qu’une enquête menée par leur dépar­­te­­ment sécu­­rité a conduit à la décou­­verte du vol de plus de 500 millions de comptes d’uti­­li­­sa­­teurs dans le réseau de Yahoo, à la fin de l’an­­née 2014. Ces pirates non iden­­ti­­fiés auraient été « soute­­nus par un gouver­­ne­­ment » et ne dispo­­se­­raient d’au­­cune infor­­ma­­tion bancaire appar­­te­­nant aux utili­­sa­­teurs. Ajou­­tant que Yahoo travaille étroi­­te­­ment avec les auto­­ri­­tés pour faire la lumière sur l’af­­faire, Bob Lord n’en disait pas davan­­tage, prodi­­guant unique­­ment des conseils de sécu­­rité aux utili­­sa­­teurs pour se prému­­nir le plus effi­­ca­­ce­­ment possible de ce genre de désa­­gré­­ments. La compa­­gnie est retour­­née au silence, les médias ont tenté de comprendre comment un tel événe­­ment avait pu arri­­ver. Six ans plus tôt, des pirates agis­­sant pour le compte du gouver­­ne­­ment chinois avaient lancé une cybe­­rat­­taque de grande ampleur contre plusieurs grandes entre­­prises améri­­caines, parmi lesquelles Google et Yahoo. Révé­­lée le 12 janvier 2010 par Google, l’opé­­ra­­tion bapti­­sée Aurora a laissé un goût amer dans la bouche de Sergey Brin, le co-fonda­­teur du géant de la Sili­­con Valley. À la suite de l’at­­taque, Google a engagé des centaines d’in­­gé­­nieurs pour béton­­ner sa sécu­­rité et investi des centaines de millions de dollars dans son infra­s­truc­­ture. De son côté, Yahoo aurait été lent à faire le néces­­saire pour se prému­­nir des assauts des hackers, d’après les révé­­la­­tions d’em­­ployés de la firme faites au New York Times. Marissa Mayer, direc­­trice de Yahoo depuis 2012, aurait selon eux négligé la ques­­tion et préféré miser en prio­­rité sur la réno­­va­­tion de Yahoo Mail et le déve­­lop­­pe­­ment de nouveaux produits. Des choix malavi­­sés et lourds de consé­quences, si tel est vrai­­ment le cas. En deux ans, le vol des 500 millions de comptes d’uti­­li­­sa­­teurs est passé inaperçu aux yeux des tech­­ni­­ciens de Yahoo.

ulyces-yahoosecu-03
Bob Lord
Crédits : Yahoo

Un mois après son annonce terri­­fiante, Bob Lord est apparu souriant sur la scène de la Struc­­ture Secu­­rity 2016 de San Fran­­cisco, une confé­­rence axée sur la sécu­­rité infor­­ma­­tique. Il y a expliqué que les deux attaques ne semblaient pas être liées « malgré leur date rappro­­chée », et que c’est en enquê­­tant sur les décla­­ra­­tions de Peace que Yahoo avait décou­­vert cette nouvelle catas­­trophe. Lord n’a pas donné plus de détails, expliquant qu’il ne pouvait risquer de compro­­mettre l’enquête en cours. Fina­­le­­ment, le 14 décembre 2016, après deux mois de silence radio, le respon­­sable de la sécu­­rité des systèmes d’in­­for­­ma­­tion de Yahoo a publié une nouvelle décla­­ra­­tion, plus effroyable encore. Dans son « Infor­­ma­­tion de sécu­­rité impor­­tante pour les utili­­sa­­teurs de Yahoo », Lord a averti leurs utili­­sa­­teurs que les enquê­­teurs avaient décou­­vert qu’un autre vol avait eu lieu, cette fois de plus d’un milliard de comptes d’uti­­li­­sa­­teurs. Il s’agit là du pira­­tage de données utili­­sa­­teurs le plus massif jamais connu. Il aurait été perpé­­tré par « une tierce partie non-auto­­ri­­sée » en août 2013 – et décou­­vert plus de trois ans après le crime. Yahoo assure que ces événe­­ments ne sont pas liés avec ceux de septembre et que là aussi, aucune infor­­ma­­tion bancaire n’a été déro­­bée. Bob Lord n’en a pas dit davan­­tage sur l’af­­faire et ajoute les recom­­man­­da­­tions de sécu­­rité d’usage. Cette fois-ci, les médias sont restés abasour­­dis par l’am­­pleur de nouvelle, aucune autre infor­­ma­­tion n’a filtré que celles four­­nies par Lord. L’enquête en cours l’em­­pê­­che­­rait de dire quoi que ce soit de plus ou d’ap­­pro­­fon­­dir les hypo­­thèses de son rapport. Mais en réalité, Yahoo en sait-il seule­­ment davan­­tage ? Rien n’est moins sûr. https://vimeo.com/185833006

LISEZ ICI LA SUITE DE L’HISTOIRE

COMMENT YAHOO PARVIENT À GARDER LE SILENCE


Couver­­ture : Le siège de Yahoo.
 
Down­load Premium WordP­ress Themes Free
Down­load Premium WordP­ress Themes Free
Down­load WordP­ress Themes
Down­load WordP­ress Themes
udemy course down­load free
Download Nulled WordPress Themes
Download WordPress Themes
Free Download WordPress Themes
Free Download WordPress Themes
download udemy paid course for free

Plus de monde