Yahoo ! et la Data Breach qui toucha ses 3 milliards d’utilisateurs

Qui ne connait pas Yahoo !, une société américaine vieille de 1994, qui a été rachetée en 2017 par Verizon puis revenue à Apollo Global Management en 2021.

Yahoo était en 2004 le site le plus visité, cependant Google le détrôna et Yahoo déclina lentement mais sûrement durant les années 2010.

Il n’en reste pas moins que Yahoo était et reste, encore à ce jour, l’un des sites les plus connus du monde entier possédant à son apogée plus de 3 milliards d’utilisateurs et comptabilisant à ce jour encore un milliard.

2016, l’année fatale

L’histoire des Data Breach de Yahoo ! débuta en 2016, enfin pas réellement, mais elle est devenue publique en 2016, plus précisément au second semestre de cette année-là. Une personne anonymisée, sous le nom de « Peace_of_Mind », a fait des entretiens avec deux gros journaux américains, Vice et Wired, et déclara qu’il vendait en privé via la plateforme « TheRealDeal », un site marchant sur le Dark Net, des mots de passe d’environ 200 millions d’utilisateurs de Yahoo !, celui-ci ne sachant pas réellement comment ces données ont été procurées.

Yahoo ! a déclaré savoir que ses données étaient revendues, ils ne faisaient qu’avertir les utilisateurs sans réinitialiser leurs mots de passe.

Le 22 septembre 2016, Yahoo signale au public un vol de données de ses utilisateurs suite à une intrusion faite fin 2014, sont concernés par cette violation, plus de 500 millions de compte.

Le 14 décembre 2016, Yahoo republie un communiqué en signalant cette fois qu’une intrusion, qui s’est déroulée en août 2013, a permis aux hackers d’extraire plus d’un milliard de comptes utilisateurs y compris des questions / réponses de sécurité non cryptées. Yahoo força tous ses utilisateurs à réinitialiser leur mot de passe et leurs questions / réponses.

10 mois plus tard, en octobre 2017, Yahoo ré-évalue le piratage et déclare que tous ses utilisateurs, soit plus de 3 milliards, ont été touchés.

L’intrusion de fin 2014

L’intrusion fin 2014, qui a été révélée par Yahoo en septembre 2016, a touché pas moins de 500 millions de comptes d’utilisateurs, comprenant :

• Nom
• Mails
• Numéros de téléphone
• Dates de naissance
• Mots de passe hachés via l’algorithme bcrypt
• Questions / Réponses cryptées ou non

Grâce aux Questions / Réponses non cryptées, les hackers peuvent réinitialiser un mot de passe et prendre possession du compte de la personne, et ainsi obtenir davantage d’informations personnelles. Toutes les informations récupérées sont ensuite revendues sur le Dark Net.

Les comptes Flickr, Sky et BT ont également été touchés, ces derniers appartenant à Yahoo.

Selon Yahoo, les hackers viennent d’autres pays, Russie ou Chine. Le FBI, avec le soutien et l’appui de Yahoo, a enquêté sur cet incident.

Dans un rapport donné à l’U.S. Securities and Exchanges Commission (SEC) en novembre 2016, Yahoo déclare être au courant de cette intrusion depuis 2014 mais n’ont jamais évalué l’ampleur de l’incident, ce n’est qu’à partir de juillet 2016 que l’entreprise a réellement enquêté sur l’affaire.

Yahoo a remis un rapport précédent celui-ci, le 09 septembre 2016 indiquant au SEC qu’aucune « violation de la sécurité » ni de « perte, vol, accès non autorisé ou acquisition » de données n’a été constaté.

Le 15 mars 2017, le FBI inculpa officiellement 4 hommes :

1. Alexsey Belan, un hacker étant sur la liste des plus grands fugitifs cybercriminels pour le FBI
2. Karim Baratov, un hacker canadien qui a été arrêté et extradé aux Etats-Unis
3. Deux agents du Service Fédéral de Sécurité de la Fédération de Russie (FSB) : Dmitry Dokuchaev et Igor Sushchin. Ces deux agents sont accusés d’avoir payés les hackers pour exécuter l’intrusion pour obtenir des informations confidentielles

La méthode d’intrusion est similaire à celle de l’intrusion d’août 2013.

L’intrusion d’août 2013

Venons-en à la plus grosse intrusion, celle d’août 2013, intrusion, je vous rappelle, signalée en décembre 2016 par Yahoo.

Selon l’entreprise californienne, les deux intrusions ne sont pas liées, cependant les données volées sont similaires mais concernent cette fois plus d’1 milliard d’utilisateurs à date de fin 2016.

Yahoo annonce que le pirate est un « tiers non autorisé » et que ce dernier a utilisé une falsification des cookies, permettant aux hackers de s’identifier comme n’importe quel utilisateur sans mot de passe.

Cette fois-ci, Yahoo obligea tous les utilisateurs de modifier mots de passe et Questions/Réponses.

En octobre 2017, Yahoo revint sur ces chiffres et déclara que tous ses utilisateurs, soit plus de 3 milliards, ont été affectés par cette intrusion.

Andrew Komarov, directeur du renseignement de la société de cybersécurité InfoArmor, avait aidé Yahoo! et les forces de l’ordre pour retrouver la source de ces fuites. En fouillant dans le Dark Web, Komarov trouve un vendeur proposant une liste de plus d’un milliard d’utilisateurs, dont plus de 150 000 noms de personnes travaillant pour le gouvernement et l’armée des États-Unis, ainsi que des comptes associés à l’Union européenne, au Canada, et aux gouvernements britanniques et australiens.

Répercussions judiciaires & financières

En juillet 2016, soit avant les déclarations d’intrusion et de vols de données, Verizon Communications avait prévu de racheter une partie de Yahoo pour 4.83 milliards de dollar. À la suite de ces violations, les accords concernant le rachat ont failli être anéantis, cependant le prix du rachat a été revu à la baisse, pour un montant de 4.48 milliards de dollar. La partie restante de Yahoo a été renommée Altaba.

Au niveau réputationnel, de nombreuses révélations ont succédés les déclarations de vols de données. Ainsi, Yahoo a été vivement critiqué pour son manque flagrant de cybersécurité. En 2013, Edward Snowden a identifié Yahoo comme une entreprise manquant totalement de sécurité et étant en retard sur les protocoles de sécurité, devenant ainsi une cible de choix pour les hackers. Un an plus tard, Yahoo embauche un expert en cybersécurité du nom de Alex Stamos, cependant la PDG Marissa Mayer lui a refusé les fonds nécessaires pour améliorer la sécurité informatique de l’entreprise. Il quitta en 2015 l’entreprise. Il a été révélé que Mayer ainsi que d’autres dirigeants de Yahoo étaient au courant des intrusions mais ne voulaient les communiquer ni au public ni aux personnels travaillant au sein de la boîte. Mayer quitta son poste de PDG en 2017.

Plusieurs poursuites ont été déposées, 23 pour être précis, 5 de ces affaires ont été regroupées en une seule action collective. En mars 2018, Verizon a cherché à rejeter une partie de l’affaire, mais le juge Lucy H. Koh a refusé ce rejet. Avant le début du procès, les entreprises Altaba et Verizon ont convenu de partager un coût de 50 millions de dollar avec les 200 millions d’utilisateur du recours collectif. Ceux dont les informations personnelles ont été usurpées pouvaient toucher 375 $ et ceux dont les comptes ont juste été affectés sans usurpation prouvée pouvaient toucher 125 $. Le juge rejeta l’offre, forçant Yahoo à payer 117.5 millions de dollar en avril 2019.

Les gouvernements critiquèrent également le manque de sécurité de l’entreprise californienne, mais aussi le manque de transparence en annonçant deux ans plus tard les intrusions au public. Ainsi des sénateurs américains, jugeant les délais de divulgation « inacceptables » ont envoyé une lettre à la PDG de Yahoo pour qu’elle s’explique sur les événements, mais ont aussi demandé à la SEC d’enquêter, ce qu’ils ont fait. En octobre 2018, la SEC a conclu un accord avec Altaba pour 35 millions de dollars pour non-divulgation de la violation de 2014 en temps voulu.

Les régulateurs européens ont, quant à eux, exprimé leurs réserves concernant le respect de la vie privé et la sécurité des données chez Yahoo. En effet, en plus des intrusions et vols de données, Yahoo avait conclu un marché avec le gouvernement américain pour scanner tous mails entrants et divulguer des informations aux services de renseignement américain. Le commissaire irlandais à la protection des données a lancé des enquêtes pour les violations de vie privé. Du côté de l’Office Fédéral de la Sécurité de l’Information en Allemagne, ce dernier a déclaré que « la sécurité n’est pas un concept étranger » et a demandé aux membres du gouvernement allemand ainsi qu’au peuple de ne pas utiliser Yahoo et d’utiliser des solutions de messagerie et de recherche web plus sécurisées.

En 2013, Yahoo a connu la plus grande intrusion de l’histoire avec plus de 3 milliards d’utilisateurs touchés. Cette histoire a eu encore plus d’ampleur en sachant que Yahoo n’a révélé cette histoire que fin 2016, soit trois ans plus tard, obligeant les utilisateurs à changer mots de passe et moyens de récupération.

Cependant, l’enchaînement des deux intrusions révélées à 3 mois d’intervalle, plus le fait que leur sécurité informatique n’était clairement pas une priorité, Yahoo a perdu de nombreux utilisateurs, ainsi que leur confiance.

Aujourd’hui la marque ne possède plus qu’un tier de ses utilisateurs comparé à 2016, et n’est clairement plus le géant qu’il était autrefois.

Leur manque de sécurité rajouté au manque de réactivité est devenu un véritable cas d’école, montrant la nécessité aujourd’hui de posséder une solution permettant de scanner les failles et vulnérabilités d’un site mais aussi un outil de détection de fuite de données.