La revendication de Yahoo de pirates «parrainés par l'État» rencontre le scepticisme

Yahoo a blâmé sa violation massive de données sur un "acteur parrainé par l'État". Mais l'entreprise ne dit pas pourquoi elle est arrivée à cette conclusion. Elle n'a pas non plus fourni de preuve.

Les questions persistantes poussent certains experts en sécurité à se demander pourquoi Yahoo n'offre pas plus de détails sur un piratage informatique qui a volé des informations de compte à 500 millions d'utilisateurs..

"Je pense qu'il y a beaucoup de poisson ici", a déclaré Michael Lipinski, stratège en chef de la sécurité chez Securonix..

Yahoo n'a pas répondu à une demande de commentaire. La société a mis en place des protocoles qui peuvent détecter le piratage parrainé par l'État dans les comptes d'utilisateurs. Dans un article de blog de décembre 2015, la société a décrit sa politique, disant qu'elle avertira les utilisateurs lorsque cela est suspecté. 

"Afin d'empêcher les acteurs d'apprendre nos méthodes de détection, nous ne partageons aucun détail publiquement sur ces attaques", écrivait à l'époque Bob Lord, le responsable de la sécurité informatique de Yahoo. Il a ajouté que la société n'envoie ces notifications que "lorsque nous avons un haut degré de confiance".

Cependant, blâmer une violation de grande envergure sur les pirates informatiques parrainés par l'État pourrait également être une excuse pratique pour réduire la culpabilité.

"Si je veux couvrir mon arrière-train et donner l'impression que j'ai un déni plausible, je dirais" acteur de l'État-nation "en un clin d'œil", a déclaré Chase Cunningham, directeur des opérations cyber du fournisseur de sécurité A10 Networks..

La perception est que les pirates informatiques parrainés par l'État sont imparables et parmi les meilleurs au monde, a-t-il ajouté. Cunningham soupçonne que les cybercriminels, et non un groupe d'élite gouvernemental, pourraient avoir ciblé Yahoo.

"Cela ne puait tout simplement pas l'activité des États-nations", a-t-il déclaré. "Les États-nations recherchent la propriété intellectuelle. Ils ne se soucient pas des e-mails et des mots de passe d'un compte Yahoo."

La société Internet pourrait également retenir des détails sur la violation en raison de Verizon, qui a accepté de payer 4,8 milliards de dollars pour acheter Yahoo.

"Je ne suis pas sûr que l'acquisition de Verizon se poursuivra", a déclaré Lipinski de Securonix. Verizon, par exemple, pourrait devoir débourser des millions de dollars supplémentaires pour faire face aux retombées de la violation.

"Mais le blâmer sur un acteur parrainé par l'Etat les aidera en quelque sorte (Yahoo)", a-t-il ajouté. "Ils peuvent dire:" Ce n'est pas de notre faute, notre assurance s'en occupera. ""

Même si Yahoo n'a pas fourni beaucoup de preuves, d'autres experts en sécurité ont également déclaré qu'il était très possible que des pirates informatiques parrainés par l'État soient responsables de la violation de données. Un gouvernement aurait peut-être été intéressé à cibler les comptes de messagerie électronique de militants des droits de l'homme, par exemple. Ou la violation aurait pu être initiée par un initié de l'entreprise, qui était en fait un espion.

Il y a d'autres raisons possibles pour que Yahoo retienne des données, a ajouté Vitali Kremez, analyste en cybercriminalité avec la société de sécurité Flashpoint.

"Les forces de l'ordre pourraient enquêter et ils (Yahoo) ne veulent rien compromettre", a-t-il déclaré. "Ils pourraient également préparer des procédures judiciaires."

Yahoo a déclaré qu'il n'avait appris que récemment la violation de données. Mais le piratage s'est produit à la fin de 2014 - ce qui signifie que les auteurs avaient deux ans pour exploiter secrètement les données.

Si les pirates informatiques parrainés par l'État ciblaient effectivement Yahoo, Kremez craint que d'autres entreprises aient également été victimes - elles ne le savent tout simplement pas. 

"Nous avons besoin de plus de transparence", a déclaré Kremez. "Nous aimerions tous en savoir plus pour voir si cela s'inscrit dans un schéma plus large."

Rejoignez les communautés Network World sur Facebook et LinkedIn pour commenter des sujets qui vous tiennent à cœur.