Yahoo aurait menti sur les hackers qui ont piraté 500 millions de ses comptes

Les managers de Yahoo, sont-ils menteurs et incompétents? Presque une semaine après la révélation de l'énorme vol de données dont a été victime le portail, cette question se pose de plus en plus, dans les médias américains et dans les cercles des experts en sécurité. Parmi ces derniers, plusieurs contestent ouvertement le fait que les 500 millions d'identifiants auraient été dérobés par un acteur gouvernemental, comme l'a pourtant affirmé Yahoo dès le départ. "Cela ne ressemble pas à une activité gouvernementale. Les acteurs gouvernementaux s'intéressent à la propriété intellectuelle. Ils n'ont rien à faire des mots de passe et des emails d'un compte Yahoo", estime Chase Cunningham, directeur chez A10 Networks, cité par PC World. Et d'ajouter: "Si je devais assurer mes arrières et me dégager de mes responsabilités, je dirais immédiatement 'acteur gouvernemental'".

Un mystérieux groupe de hackers

La société InfoArmor, qui a pu récupérer une partie des données volées, va encore plus loin dans son analyse. Après avoir mené sa propre enquête sur ce piratage, elle arrive à la conclusion que ces données ont été volées par un groupe de cybercriminels d'Europe de l'Est, qu'elle a baptisé "Group E". En revanche, la piste gouvernementale ne serait pas totalement fausse, car ces hackers professionnels auraient effectivement vendus leurs données en 2015 à un tel acteur.

Selon NBC, qui a interrogé Andrew Komarov, l'un des directeurs d'InfoArmor, cette organisation étatique aurait commandé ce vol d'informations à Group E et les auraient payé 300.000 dollars. Pour autant, les données de Yahoo auraient également été vendues à deux groupes de cybercriminels, spécialisés entre autres dans l'envoi de spam. Selon InfoArmor, Group E serait à l'origine de la plupart des autres grands vols de données qui ont récemment défrayés la chronique: Dropbox, Fling, MySpace, LinkedIn, LastFM, VK, etc.

Certains experts, toutefois, ne partagent pas totalement cette analyse. Vitali Kremez, de la société Hold Security, s'interroge auprès de PC World sur la structure des données récupérées par InfoArmor. Yahoo affirme que les données volées contenaient des questions de sécurité, mais celles-ci n'apparaissent pas chez InfoArmor. Par ailleurs, selon Yahoo, les mots de passe étaient chiffrés selon l'algorithme Bcrypt alors que chez InfoArmor ils sont chiffrés selon l'algorithme MD5. "Pourquoi [Yahoo] aurait-il menti sur ce point? Il est possible qu'InfoArmor ait mis la main sur un autre set de données", estime Vitali Kremez.

Manque d'investissement

Beaucoup de zones d'ombres restent donc encore à explorer sur cette affaire. La crédibilité de Yahoo, en tous les cas, est mise en doute, et cela d'autant plus qu'une enquête du New York Times révèle à quel point la sécurité informatique a été négligée sous le règne de Marissa Mayer. Ainsi, l'équipe de sécurité n'a que rarement eu les budgets réclamés et des méthodes désormais classiques comme la rétribution des chercheurs en sécurité externes qui découvrent des failles (Bug Bounty) n'ont été mises en place que tardivement. Ce manque d'investissement se paye maintenant au prix fort, car le piratage intervient pile au moment d'une énorme transaction de rachat. Donc au pire moment.