Yahoo victime d'une entité parrainée par un État ? Pas forcément
La plupart des clients des responsables du piratage seraient des spammeurs

Le , par Stéphane le calme, Chroniqueur Actualités
Yahoo a estimé que le piratage de ses comptes qui date de 2012 et qui a permis de récolter des informations sur plus de 200 millions de ses comptes utilisateurs était le fruit d’une organisation parrainée par un État. Cependant, selon le spécialiste en sécurité InfoArmor, il est possible que ça ne soit pas le cas ; il s’agissait là de l’oeuvre de mercenaires. « Selon nos informations, la plupart des clients de ce groupe sont des spammeurs », a déclaré Andrew Komarov, responsable des renseignements chez InfoArmor, tout en indiquant que le groupe a déjà eu à faire, au moins à une reprise à une entité parrainée par un État.

Pour son argumentation, InfoArmor s’est appuyé sur un échantillon des informations volées qu’il a obtenu de « sources opératoires » dans le cadre de son enquête sur le « Group E », un groupe de pirates originaire de l’Europe de l’Est et constitué de cinq membres. InfoArmor suit les activités du Group E depuis plus de trois ans.

Si la base de données obtenue par InfoArmor ne contenait « que » quelques millions de comptes, Komarov assure qu’il y avait des identifiants utilisateurs, des mots de passe hashés, des numéros de téléphones mobiles ainsi que des zip codes. Le spécialiste a eu le temps de vérifier que les informations étaient bel et bien réelles. Selon lui, le Group E a vendu les données Yahoo dans trois transactions privées. Komarov a indiqué que la base des données Yahoo a été vendue pour au moins 300 000 dollars dans l’une d’elle.

InfoArmor a également avancé que Group E est derrière le piratage de LinkedIn, Dropbox et Tumblr. Dans ces cas là, pour vendre les informations, le groupe est passé par d’autres hackers comme Tessa88 et peace_of_mind qui ont proposé ces affaires sur le marché noir. « Ce groupe est vraiment unique », a indiqué Komarov. « Ils sont responsables du plus gros piratage de l’histoire en termes d’utilisateurs affectés ».

La communauté des chercheurs en sécurité quant à elle est plutôt divisée face à ces informations. Alex Holden, responsable de la sécurité des systèmes d’information chez Hold Security, a déclaré que les allégations de InfoArmor sont pour la plupart en accord avec ce qu'il a trouvé dans ses propres enquêtes. Cependant, il a ajouté « qu’en ce moment, nous ne pouvons pas être totalement sûrs de l’identité des personnes responsables du piratage de 2014 et aussi s’il y a eu un seul piratage ».

Vitali Kremez, un analyste en cybercrime chez FlashPoint, est un peu plus sceptique sur les découvertes de InfoArmor. « Ils ont peut-être trop vite sauté sur les conclusions ici », a-t-il déclaré. Il s’est interrogé sur les divergences entre la base de données obtenue par InfoArmor et celle que Yahoo a déclaré avoir été volée. Par exemple, Yahoo a indiqué que les mots de passe étaient hachés avec l’algorithme de sécurité bcrypt et que des questions de sécurité étaient associées aux comptes concernés dans cette affaire. Pourtant, Kremez note que dans les données récupérées par InfoArmor, les mots de passe sont hashés avec l'algorithme MD5 et qu'on ne mentionne nulle part des questions de sécurité. « Yahoo a déclaré que les mots de passe volés utilisaient bcrypt. Pourquoi pourraient-ils mentir à ce sujet ? », s’est demandé Kremez. Et de continuer en disant « qu’il est possible qu’InfoArmor dispose d'un ensemble de données différent ».

Quoiqu’il en soit, Komarov a déclaré qu’InfoArmor est disposé à travailler avec les forces de l’ordre, Yahoo ainsi que d’autres parties indépendantes pour examiner les données. Dans son rapport, le cabinet a donné un échantillon. InfoArmor indique que le vol de la base de données de Yahoo peut être la clé de plusieurs attaques ciblées lancées contre le personnel du gouvernement américain.

Source : InfoArmor


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de vanskjære vanskjære - Membre actif https://www.developpez.com
le 30/09/2016 à 14:42
Citation Envoyé par Stéphane le calme Voir le message
Kremez note que dans les données récupérées par InfoArmor, les mots de passe sont hashés avec l'algorithme MD5 ne mentionne nul part des questions de sécurité. « Yahoo a déclaré que les mots de passe volés utilisés bcrypt. Pourquoi pourraient-ils mentir à ce sujet ? », s’est demandé Kremez.
En même temps dire qu'en 2012 les mots de passes était stocké en hash MD5 alors que ça fait 8 ans que c'est un algo qui n'est plus considéré comme sûr....
Avatar de TiranusKBX TiranusKBX - Expert confirmé https://www.developpez.com
le 01/10/2016 à 8:26
moi ça fai déjà un moment que j'utilise du sha384 ou un algo random(ceux d'une taille importante) dans les algo proposés par PHP
Avatar de RyzenOC RyzenOC - Membre éclairé https://www.developpez.com
le 02/10/2016 à 16:25
moi ça fai déjà un moment que j'utilise du sha384 ou un algo random(ceux d'une taille importante) dans les algo proposés par PHP
les mots de passe sont hashés avec l'algorithme MD5 ne mentionne nul part des questions de sécurité.
pour remplacer md5, php 5.5/5.6/7 propose nativement déjà une fonction password_hash()

Mais bon je serais pas étonné déjà que Yahoo soit encore sous php4...
Avatar de MarieKisSlaJoue MarieKisSlaJoue - Membre émérite https://www.developpez.com
le 02/10/2016 à 18:20
Citation Envoyé par micka132 Voir le message
Je pense que la plupart des gros acteurs américains en ont rien à faire de la securité. Ce sont des entreprises tellement énormes que ça leurs coûterait des sommes folles d’être parfaitement sécurisé.
C'est a peu prés comme si une banque avait un coffre fort de la taille de Paris...Bah forcement tu blindes pas partout.
Ce qu'il faut voir c'est que ce n'est pas seulement des problèmes de failles techniques, mais surtout des problèmes structurelles, de l'employé mécontent en passant par les sous traitances en cascades ou des serveurs isolés pour des développements ponctuels dont tout le monde a oublié l'existence...
C'est totalement faux. La plus part des gros acteurs ne peuvent survivre que parce que on leur fait confiance. Tu pense qu'une entreprise irai sur Azure si elle n'avait pas confiance. Au contraire c'est eux qui sont le plus avancé en matière de bonne pratique et de sécurité. D'ailleurs la plus part partage leur bonne pratique en livre blanc.

C'est plutôt les groupes qui on un autre coeur de metier que l'IT dont il faut se mefier
Avatar de Michael Guilloux Michael Guilloux - Chroniqueur Actualités https://www.developpez.com
le 04/10/2016 à 0:26
Piratage de Yahoo : plus d’un milliard d’utilisateurs pourraient être affectés
d’après un ancien responsable de la société

Suite à une enquête visant à détecter une éventuelle attaque de ses systèmes, Yahoo a récemment déclaré que plus de 500 millions de ses comptes ont été piratés en 2014, par un soi-disant groupe parrainé par un État. Il s’agit de la plus grande intrusion rendue publique qu’a jamais connue une entreprise de services sur internet.

Si l’hypothèse de Yahoo sur les auteurs de l’attaque est sérieusement mise en doute, on peut également s’interroger sur le nombre de comptes utilisateurs réellement affectés par cette grosse violation. D’après un ancien responsable de la société, familier avec les pratiques de sécurité du fournisseur de services sur internet, Yahoo aurait tout simplement essayé de minimiser l’ampleur de la brèche. La société a en effet déclaré qu’au moins 500 millions de comptes ont été piratés, ce qui est vrai, puisque « au moins 500 millions » veut dire que le nombre de comptes réellement affectés dépasse cette valeur. Mais pour cet ancien de la société, jusqu’à un milliard d’utilisateurs actifs pendant la période du piratage auraient été affectés.

Il explique en effet que l'architecture des systèmes back-end de la société est organisée de manière à ce que le type de violation qui a été rapporté ait pu exposer un nombre beaucoup plus important de comptes d'utilisateurs. Les identifiants des utilisateurs pour se connecter aux produits de Yahoo tels que Yahoo Mail, Finance et Sports étaient en effet stockés dans une base de données principale. Et cette base de données qui sert de principal référentiel pour les informations d’identification des utilisateurs de Yahoo serait encore utilisée par la société d’après les profils LinkedIn de certains employés encore en fonction chez Yahoo et une décision du tribunal en 2015.

Les identifiants étant centralisés dans cette base, il est donc très probable qu’un piratage porte sur l’ensemble des données et non une partie. Il faut également noter qu’au moment du piratage de 2014, la base de données comptait entre 700 millions et un milliard d'utilisateurs actifs accédant aux produits de Yahoo chaque mois, mais également de nombreux autres comptes inactifs qui n'ont pas été supprimés. En considérant les comptes inactifs, l’ancien responsable de Yahoo – qui prétend être régulièrement en contact avec les employés actuels de la société, y compris ceux qui enquêtent sur la brèche – estime que le nombre de comptes piratés pourrait se situer entre un et trois milliards.

Source : Business Insider
Avatar de nchal nchal - Membre expérimenté https://www.developpez.com
le 04/10/2016 à 9:20
1 et 3 milliards ? Si c'est vrai c'est un joli score. Egalement, c'est "couillu" de la part de Yahoo! de jouer autant avec leur image de marque car si les gens se rendent compte que Yahoo leur a menti à ce point
Avatar de TiranusKBX TiranusKBX - Expert confirmé https://www.developpez.com
le 04/10/2016 à 9:49
Yahoo élue plus belle passoire de 2014
Avatar de RyzenOC RyzenOC - Membre éclairé https://www.developpez.com
le 04/10/2016 à 10:17
Non mais yahoo c'est 1 milliards de comptes inactifs depuis 10ans et 500 millions de boite mails poubelles.
Avatar de marsupial marsupial - Membre chevronné https://www.developpez.com
le 04/10/2016 à 12:43
Citation Envoyé par nchal Voir le message
1 et 3 milliards ? Si c'est vrai c'est un joli score. Egalement, c'est "couillu" de la part de Yahoo! de jouer autant avec leur image de marque car si les gens se rendent compte que Yahoo leur a menti à ce point
Une class action est engagée. Bien qu'elle porte sur la réactivité, cela veut dire enquête et investigations. Donc tous finirons par savoir le fin mot de l'histoire car rien n'est plus mal vu et puni aux Etats-Unis que le parjure. Sur 1 à 3 milliards de compte, on trouvera certainement des peoples pour publiquement dénoncer le scandale.

Et pire, la première attaque daterait de 2012. Yahoo! ne l'a soit pas détectée, ou n'a rien dit. Et, surtout, apparemment rien fait.
Avatar de NSKis NSKis - En attente de confirmation mail https://www.developpez.com
le 04/10/2016 à 12:44
Citation Envoyé par TiranusKBX Voir le message
Yahoo élue plus belle passoire de 2014
Est-ce bien utile de "cracher" sur Yahoo quand tous les autres se sont également fait voler les profils de leur clients???

Quelques exemples pour les gens ayant des problèmes de mémoires:

- Dropbox: 68 millions d'identifiants volés en 2012
- Ashley Madison: 32 millions de comptes clients volés en 2015
- Linkedin: 100 millions d'identifiants clients volés en mai 2016
- MySpace: plusieurs centaines de millions d'identifiants annoncés comme volés en 2016
- Twitter: 32 millions de comptes volés en juin 2016

La seule conclusion à ces annonces est que quelque soit la grosseur de l'entreprise, aucune n'est en mesure de protéger les données qui sont en ligne. Certains feraient bien de s'en souvenir avant d'étaler leur vie privée sur le web...
Contacter le responsable de la rubrique Accueil