[cyber-sécurité] l’affaire Yahoo! (la fuite géante de données)

 

[mis à jour le 5 octobre 2017] Après les – pardon du peu – [500 millions puis 1 milliards en 2014 et au final] 3 milliards de comptes piratés (chiffre reconnu par Yahoo! en octobre 2017), on apprend en plus que Yahoo! aurait (au conditionnel, bien sûr) analysé les emails de ses clients ? Ceux dont les emails @yahoo!.com passent par les serveurs de Yahoo!, donc ?

43-yahoo-2015-donnees-personnelles-navigation-ledieu-avocat-contrat-nouvelles-technologies-logiciel-saas-web-cloud-computing-vfr1-2-05-12-2016-001Yahoo! leaks « que l’on apprend 2 ans plus tard »

[mise à jour du 9 octobre 2016] Apparemment, l’origine de la « faille de sécurité » serait un défaut de mise à jour d’un logiciel qui corrigeait une faille identifiée et corrigée depuis… deux ans. Apparemment. Doit-on parler de défaillance humaine ? Un process de contrôle défectueux ? Bon… Les pirates (pourquoi seraient-ils mandatés par un état ?) ont trouvé une faille connue. Ils l’ont utilisé, tout simplement. Au moins 500 millions de clients dont les données ont été copiées. 500 millions ou 3 milliards de comptes ? (Voyez ce dernier lien. Le chiffre de 3 milliards de compte était avancé depuis octobre 2016 – il y a un an…).

Pourquoi aucune donnée de cette gigantesque fuite n’a été vendue sur un quelconque darknet ? Oui, je me suis bien renseigné avant d’écrire cela. Alors ? Ces hackers auraient agi pour la beauté du geste ? Contrairement à une idée curieusement répandueil arrive, parfois, que le crime paye. Ceci dit, la presse annonce en décembre 2016 que les données de Yahoo! auraient été revendues pour 300.000 $… Seulement ? 

Yahoo! Only Live Twice

(when you’re born, and when you’re about to die) (de mémoire)

Il ne manquait plus qu’à apprendre que le même Yahoo! a opéré un traitement du contenu des emails de ses clients (depuis 2015 ?) à la demande de la NSA (ou du FBI).

C’est dommage pour Verizon qui vient d’acquérir cette branche de Yahoo! un mois après la signature d’un deal d’une valeur de 4,7 milliards de dollars… Etes-vous surpris d’apprendre que Verizon demande aujourd’hui une baisse du prix (ZDNet 7 octobre 2016) ? Ben tiens ! En février 2017, on apprend que Verizon a négocié une « remise » (à la baisse donc) sur le prix de rachat de Yahoo! en conservant à la charge du vendeur certains coûts liés aux conséquences de cette gigantesque faille / fuite de sécurité…

La prise de conscience des problèmes liés au défaut de protection des données personnelles est réelle depuis l’arrêt Schrems du… 6 octobre 2015. Il y a 16 mois (déjà !?).

Yahoo! aurait analysé les emails de ses clients ?

Au profit de qui ? Mystère… On murmure… « de la communauté du renseignement « … Les Grandes Oreilles peintes façon Stars & Stripes ?

Depuis quand ? 2015 ? Mystère encore.

Pour faire quoi ? Un mystère de plus ? (suspense haletant) Pour détecter par recherches de mots-clé des échanges suspects, par exemple pour des raisons de lutte contre le terrorisme ? Sous l’empire du Foreign Intelligence Surveillance Act ou du Freedom Act ?

[mise à jour du 7 octobre 2016] On en apprend un peu plus grâce au New York Times du 5 octobre 2016 (Yahoo Said to Have Aided U.S. Email Surveillance by Adapting Spam Filter). C’est bien sur le fondement du FISA que les Très Très Grandes Oreilles de l’Oncle Sam ont imposé à Yahoo! un détournement du fonctionnement de ses serveurs anti-spams et de détection des malwares.

[mise à jour du 14 janvier 2017] L’Union Européenne semble peu convaincue des explications officielles des Etats-Unis pour justifier de cette nouvelle affaire d’espionnage géant. no comment.

L’analyse des emails Yahoo! par Yahoo!

Comment ? LA, C’EST SIMPLE ! C’est même désarmant de simplicité technique. J’ai pensé tout de suite à une analyse du contenu des emails de type DPI (Deep Packet Inspection). Mais non… Même pas besoin, m’explique Jef Mathiot.

Et le RSSI (patron de la sécurité des systèmes d’information) de « celui par qui le scandale arrive » aurait découvert le pot aux roses une fois la « boîte noire » installée sur les serveurs de l’entreprise ? Et il aurait démissionné (pour partir faire le même boulot chez Facebook) ?

ça commence à faire beaucoup… Après la France et sa loi Renseignement de 2015 rectifiée 2016, la modification en 2016 de la loi des Pays-Bas de 2002 sur le renseignement et la loi fédérale suisse (toute fraîche) du 25 septembre 2016 sur… le renseignement, si on veut un peu de protection pour ses correspondances électroniques en Europe, ça devient difficile… Va falloir qu’on passe tous aux mails sécurisés avec GPG Keychain ? Même moi, je suis arrivé à l’installer, ce logiciel de chiffrement des emails (c’est dire !).

Place aux images (ce sera rapide).

PS : Jef ? Plus je t’écoute, plus je me désespère.

—> Pour aller plus loin sur l’analyse des emails des clients de Yahoo!

[mise à jour du 15 mars 2017] L’origine de la collecte massive des données des comptes Yahoo! ? Un « canadien » et trois « russes » selon Bloomberg relayé par ZDNet.

Renseignement : Yahoo aurait accepté de fouiller automatiquement dans les emails – Next INpact 5 octobre 2016

Yahoo espionne tous vos e-mails pour le compte de la NSA ou du FBI – Numerama 5 octobre 2016

Piratage de Yahoo! : jusqu’à 3 milliards de comptes dérobés ? – ZDNet 3 octobre 2016


43-yahoo-2015-donnees-personnelles-navigation-ledieu-avocat-contrat-droit-nouvelles-technologies-logiciel-saas-web-cloud-computing-vfr1-2-05-12-2016-002


43-yahoo-2015-donnees-personnelles-navigation-ledieu-avocat-contrat-droit-nouvelles-technologies-logiciel-saas-web-cloud-computing-vfr1-2-05-12-2016-003


43-yahoo-2015-donnees-personnelles-navigation-ledieu-avocat-contrat-droit-nouvelles-technologies-logiciel-saas-web-cloud-computing-vfr1-2-05-12-2016-004


43-yahoo-2015-donnees-personnelles-navigation-ledieu-avocat-contrat-droit-nouvelles-technologies-logiciel-saas-web-cloud-computing-vfr1-2-05-12-2016-005