Gérer les risques
Aujourd'hui et demain

Cybersécurité

Jeremiah Grossman (SentinelOne) : « Les attaquants opérant pour un État ne partagent pas publiquement des données volées ni ne les vendent »

Interview du responsable de la stratégie de sécurité chez l'éditeur de logiciels SentinelOne. En tant qu'ancien "infosec officer" chez Yahoo! durant deux ans, cet expert nous livre son interprétation du piratage qui a compromis 500 millions de comptes chez son ex-employeur.

Yahoo! présentait-il des prédispositions à être piraté ?
Oui, car Yahoo!, comme quelques autres grandes entreprises, possède des réseaux vastes et tentaculaires comptant des centaines de millions d’utilisateurs. Cela représente une énorme surface d’attaque pour quiconque souhaite se protéger efficacement, tout le temps. De ce fait, il n’est pas surprenant que des incidents même de cette ampleur, aient lieu. Yahoo! n’est pas le premier, et il ne sera certainement pas le dernier.


Selon vous, quel a été son talon d’Achille ?
En raison de la taille de Yahoo!, le groupe a souvent dû compter sur des solutions technologiques propriétaires car, historiquement, peu de produits sur le marché sont capables d’évoluer pour répondre aux exigences de leur système. Il se pourrait que cette approche ait créé des lacunes au sein de son programme de sécurité car Yahoo! n’est pas en mesure d’utiliser les produits de sécurité de pointe conçus pour contrecarrer les menaces actuelles.
Quelles interrogations restent encore en suspens ?
Il y a encore beaucoup de questions sans réponse pour le moment, la plus grande étant que si nous savons que les informations ont été volées fin 2014, en revanche nous ne disposons d’aucune indication quant au moment où Yahoo! a appris ce piratage. C’est un détail important dans cette histoire quand on lit certaines critiques. De plus, il y a des points auxquels il faut répondre, notamment la déclaration de Yahoo! disant que le piratage aurait été effectué sous l’égide d’un État. Les attaquants opérants pour un État ne partagent généralement pas publiquement des données volées, ni ne les vendent, comme c’est le cas avec le groupe de pirates « Peace of Mind » qui cherche à faire des profits. Peace of Mind était sur le point de vendre les données qu’il a dérobé à Yahoo! Il est donc peu probable qu’il ait été parrainé par un État. Et si, toutefois, c’était le cas, cela pourrait signifier que nous pourrions avoir potentiellement affaire à deux cas de piratage différents de Yahoo! avec deux groupes de pirates qui auraient accédé à son système.


Pour quelles raisons un Etat s’attaquerait-il à Yahoo! ?
Il y a des parallèles entre cette affaire et les attaques ayant ciblées Google en 2010 lors de l’opération Aurora. Je dirais que l’État belligérant, qui ciblerait des réseaux tels que ceux de Yahoo!, le ferait parce que le groupe représente une source précieuse d’informations sur la stratégie potentielle de votre adversaire. Si vous êtes un État et que vous souhaitez déterminer si l’un de vos espions en activité a été découvert, vous mettez des robinets sur Google, Yahoo!, Microsoft, etc. Plutôt que sur les réseaux gouvernementaux. Bien sûr, il y a toujours la motivation de pouvoir nommer des dissidents politiques.

Quelles recommandations pourriez-vous prodiguer aux personnes dont le compte Yahoo! aurait été potentiellement piraté ?
Il y a beaucoup de mauvais conseils envoyés aux utilisateurs affectés. Alors que Yahoo! n’a aucune preuve que les attaquants soient encore actuellement dans le réseau. A titre de précaution, je recommande de changer tout de suite non seulement votre mot de passe Yahoo!, mais surtout ceux des autres comptes pour lesquels vous pourriez avoir utilisé les mêmes identifiants. Les attaquants vont certainement tirer parti des identifiants dérobés pour les tester sur plusieurs services jusqu’à ce qu’ils réussissent.

Ségolène Kahn

Commentez

Participez à la discussion