Fuites de données Yahoo (3 milliards de comptes)

Les fuites de données Yahoo — deux incidents distincts survenus en août 2013 et fin 2014, tous deux révélés en septembre et décembre 2016 — demeurent la plus grande exposition de données d'une seule entreprise de l'histoire. Le total a atteint 3 milliards de comptes : en pratique, chaque utilisateur Yahoo ayant jamais existé, y compris les comptes Flickr, Tumblr, Yahoo Mail et Yahoo Finance qui partageaient la base d'authentification centrale.

Les deux fuites

Les fuites étaient des opérations distinctes, avec des attaquants différents et des périmètres différents :

Fuite de 2014 (500 millions de comptes)

La fuite de 2014 était l'opération commanditée par un État. Les inculpations du DOJ américain rendues publiques en mars 2017 ont désigné deux officiers du FSB russe — Dmitry Dokuchaev et Igor Sushchin — comme les principaux responsables de l'opération, travaillant avec deux cybercriminels sous contrat (Alexsey Belan, un Letton, et Karim Baratov, un Canadien né au Kazakhstan). L'opération :

• A compromis la base de données utilisateurs interne de Yahoo.
• A exfiltré les données personnelles d'environ 500 millions de comptes.
• Surtout, a donné aux opérateurs la capacité de forger des cookies d'authentification Yahoo — ce qui signifie qu'ils pouvaient se connecter à n'importe quel compte ciblé, y compris ceux de diplomates, d'officiers militaires, de journalistes et de dirigeants d'entreprise, sans avoir besoin du mot de passe de l'utilisateur.

La capacité de forge de cookies constitue la partie stratégique de la fuite. L'exfiltration massive de données était une extraction ; la capacité de forge était une capacité d'espionnage continue contre des utilisateurs ciblés, utilisée de manière sélective au cours des années suivantes. Le jeu de données de 500 millions de comptes constituait le « fichier » à partir duquel les cibles étaient sélectionnées.

Fuite de 2013 (3 milliards de comptes)

La fuite de 2013 était plus vaste mais techniquement plus simple. Un acteur non attribué (probablement criminel) a exfiltré la base de données utilisateurs de l'intégralité des comptes Yahoo existant à l'époque — 3 milliards de comptes comprenant noms, adresses e-mail, mots de passe hachés en MD5, dates de naissance, questions de sécurité et adresses e-mail de récupération.

Le hachage MD5 est crucial : avec un effort de calcul modeste, les hachages MD5 de mots de passe courants sont trivialement déchiffrables. On suppose que le jeu de données de 2013 a été largement monétisé sur les marchés criminels au cours des années qui ont suivi.

Verizon et l'acquisition

Les fuites ont été révélées durant les dernières étapes de l'acquisition à 4,83 milliards de dollars par Verizon de l'activité principale de Yahoo, convenue en juillet 2016. Lorsque la révélation de septembre 2016 est tombée, Verizon a négocié une réduction de 350 millions de dollars du prix et a renégocié la date de clôture de l'opération ainsi que la répartition des responsabilités. La révélation de 2013 a suivi en décembre et a ajouté une pression supplémentaire.

L'acquisition a été finalisée mi-2017 au prix renégocié. Le coût de la fuite pour Verizon — au-delà de la décote sur le prix — a inclus la prise en charge de la remédiation, l'exposition à un recours collectif et une action coercitive de la SEC.

Impact

• 3 milliards de comptes ont vu leurs données personnelles exposées — chaque utilisateur Yahoo existant à l'époque.
• Décote de 350 millions de dollars sur le prix d'acquisition par Verizon.
• Règlement de recours collectif de 117,5 millions de dollars en 2019 couvrant 200 millions de titulaires de comptes américains et israéliens.
• Amende de 35 millions de dollars de la SEC en avril 2018 contre Altaba (le successeur renommé de Yahoo) pour ne pas avoir révélé la fuite de 2014 en temps opportun — la première action coercitive de la SEC contre une société cotée américaine pour révélation tardive d'une fuite, et le précédent des actions coercitives ultérieures de la SEC, y compris la règle de divulgation obligatoire sous 4 jours de 2023.

Attribution

L'inculpation du DOJ américain de mars 2017 désigne quatre individus pour la fuite de 2014 :

• Dmitry Dokuchaev (officier du Centre 18 du FSB ; ultérieurement arrêté en Russie pour des accusations de trahison sans rapport)
• Igor Sushchin (officier du FSB, en Russie)
• Alexsey Belan (cybercriminel letton, en Russie et hors de portée d'extradition)
• Karim Baratov (Canadien né au Kazakhstan ; arrêté en 2017 au Canada, extradé et condamné aux États-Unis en 2018, à une peine de 5 ans)

Baratov est l'une des très rares personnes à avoir effectivement été condamnée dans le cadre d'une opération cyber étatique majeure. Il avait été recruté par les officiers du FSB pour hameçonner des comptes individuels ciblés via la base de données Yahoo.

L'attribution de la fuite de 2013 demeure non résolue.

Pourquoi c'est important

Yahoo constitue le cas canonique de plusieurs enseignements distincts :

• Le « rayon d'impact » d'une base d'identités centralisée : un seul système d'authentification compromis a exposé les utilisateurs de l'ensemble des produits Yahoo. Les architectures fédérées et zero-trust sont depuis devenues la norme, en partie en réponse à cela.
• Le retard de divulgation engage la responsabilité au titre de la SEC : l'amende d'Altaba en 2018 a constitué la première action coercitive américaine contre une société cotée pour ne pas avoir révélé une fuite en temps opportun. Chaque règle ultérieure de la SEC sur la divulgation en matière de cybersécurité trouve son origine dans le retard de deux ans de Yahoo.
• L'accès commandité par un État à la messagerie grand public est une capacité d'espionnage de long terme, et non une extraction de données ponctuelle. La capacité de forge de cookies de 2014 a donné aux opérateurs du FSB un accès continu à des cibles sélectionnées — et pas seulement le jeu de données de 500 millions d'enregistrements.