Deux ans après les faits, le géant de l’Internet Yahoo! a reconnu jeudi dans un communiqué qu’une partie des informations de ses utilisateurs avaient été « fin 2014 ». 20 Minutes fait le point sur ce vol massif de données, dont l’annonce intervient quelques mois seulement après les piratages de comptes MySpace, Linkedin et Tumblr.

Que s’est-il passé ?

Alors que Yahoo! annonçait fin juillet un accord avec le géant des télécoms Verizon pour le rachat de Yahoo News et Yahoo Mail , prenait corps dans les médias américains. publié jeudi, l’entreprise a confirmé avoir été victime d’une cyber-attaque fin 2014, ayant conduit au vol d’informations peu ou pas chiffrées liées à 500 millions de comptes. Cela peut être des dates de naissance, des noms, des adresses mail, des numéros de téléphone, des mots de passe ou des questions de sécurité. Mais les données bancaires des utilisateurs sont à l’abri sur un autre système qui n’a a priori pas été attaqué, a déclaré Yahoo!.

Qui est derrière cette attaque ?

Selon le portail web, il s’agirait d’un « acteur sponsorisé par un Etat », illustration du fait que « les intrusions et les vols de données commis par des acteurs bénéficiant du soutien d’un Etat sont devenus de plus en plus courants dans l’industrie de la technologie ». Début août 2016, avait interviewé se faisant appeler « Peace », qui déclarait vendre sur le Darknet (des pages non indexées par les moteurs de recherche, servant à des activités illégales) des informations liées à 200 millions de comptes Yahoo! pour 3 bitcoins, soit environ 1.600 euros.

« Il est possible que les données volées par un acteur étatique se retrouvent sur le marché noir, explique Gérôme Billois, expert en cybercriminalité au cabinet Wavestone. On sait que des groupes de cybercriminels peuvent être payés par certains Etats à tendance totalitaire qui cherchent à constituer une base de données sur le maximum de monde possible. C’est une logique de renseignement : à partir du moment où l’on a les clés de votre vie numérique, on sait tout de votre vie réelle. » A noter qu’un Français fameux - le président François Hollande- avait un mail privé Yahoo! au moins jusqu’en 2013 (le pirate Peace avait indiqué à Motherboard que les informations qu’il vendait dataient « de 2012 probablement »).

Début 2014, Yahoo! avait multiplié les annonces quant au renforcement de la sécurité de son réseau, son nom étant revenu à plusieurs reprises dans l’affaire des écoutes de la NSA révélée par Edward Snowden. Improbable que l’agence américaine soit liée à cette affaire-ci, selon , tout simplement car Yahoo! étant une entreprise américaine, « la NSA a les moyens légaux de récupérer les informations qui ont été dérobées ».

Pour , auteur d’un « Que sais-je » sur La cybersécurité, l’explication de Yahoo! est douteuse : « Ca ne colle pas avec les centres d’intérêt d’un Etat. Quel est l’intérêt à agir ainsi, de manière aussi massive ? Si l’idée est de faire de la surveillance, il n’y a pas besoin de viser aussi large. » L’entreprise n’a pas communiqué d’élément sur les nationalités ou les positions géographiques des personnes dont les comptes ont été attaqués, ce qui permettrait peut-être de comprendre l’objectif de ce vol de données.

Pourquoi l’entreprise a mis autant de temps à annoncer cette fuite massive ?

Le décalage entre la période supposée du vol (fin 2014) et son annonce peut étonner, mais ce serait surestimer les capacités de protection informatique des entreprises, même pour des géants du net comme Yahoo!, explique l’expert en cybercriminalité : « Bien faite, une attaque est difficilement détectable. Aujourd’hui, on estime qu’il faut en moyenne 150 jours pour s’en apercevoir. Et en 2014, au moment des faits, il fallait plutôt 250 jours. Beaucoup d’entreprises sont en retard, même si ces multiples alertes [après les fuites chez MySpace, Linkedin et Tumblr notamment] ont permis un réveil. Les pratiques se sont améliorées, bien que dans la sphère privée, on observe encore un niveau de sécurisation très faible. »

Yahoo ! a demandé à ses utilisateurs n’ayant pas modifié leur mot de passe depuis 2014 de s’en charger, ainsi que sur Flickr, qu’il possède. De même, l’entreprise conseille fortement de changer de question secrète.

A quoi peuvent servir ces données pour les hackers ?

Nicolas Arpagian, qui ne croit pas à la piste d’un pirate sponsorisé par un Etat, imagine un recel plus « classique » : « Le type de données qui a fuité a une valeur avant tout pour faire de l’usurpation d’identité », explique-t-il. La récupération de millions de mots de passe peut évidemment provoquer des dégâts collatéraux si un utilisateur de Yahoo! concerné par la cyberattaque utilisait le même code pour d’autres sites (sur les réseaux sociaux notamment). Un site comme Amazon par exemple peut stocker des coordonnées bancaires si on lui en donne l’autorisation. Pour peu que le mot de passe Yahoo! soit identique à celui d’Amazon…

Plus grave encore selon Gérôme Billois, la fuite des questions secrètes qui permettent de récupérer un mot de passe oublié « entraîne un risque de compromission plus large ». Avec la réponse à cette question (souvent le nom de jeune fille de sa mère, le prénom de son chat, la marque de sa première voiture, etc.), le ou les hackers peuvent prendre le contrôle de comptes autres que seulement celui de Yahoo !, car l’utilisateur configure souvent la même question secrète d’un site à l’autre.