Piratage de Yahoo : qu’en pensent les experts britanniques ?

Yahoo a confirmé une violation de données à grande échelle de ses systèmes en 2014 et que 500 millions d’enregistrements d’utilisateurs ont été perdus.

Nous discutons avec des experts en cybersécurité pour découvrir ce que le piratage de Yahoo pourrait signifier pour les entreprises et les gens ordinaires.

YahooJames Lyne, responsable mondial de la recherche sur la sécurité, Sophos :

«Nous continuons de voir même les plus grandes entreprises piratées par des cybercriminels essayant d’accéder aux informations privées fournies par leurs utilisateurs pour créer un profil, y compris les mots de passe, la date de naissance ou les données des questions de sécurité. Les cybercriminels sont très habiles à utiliser ces données pour commettre une fraude plus large, de sorte que les ramifications de cette violation peuvent s’étendre bien au-delà des e-mails. »

Mark Skilton, professeur de pratique à la Warwick Business School et expert en cybersécurité :

« Bien qu’il ne soit pas surprenant d’entendre l’ampleur du piratage d’utilisateurs par des entreprises – après tout, l’essor du commerce numérique signifie que tout le monde est à peu près en ligne ces jours-ci – ce qui est choquant, c’est la date, 2014 », et le sentiment de résignation que certains peuvent Il est trop tard pour la gestion professionnelle des risques de cybersécurité et certainement des pratiques organisationnelles au sein d’une entreprise comme Yahoo!, ce à quoi vous vous attendiez.

« L’autre facteur est l’impact juridique pour Yahoo! de l’impact sur la réputation et la responsabilité des pertes pour les clients. Cela pourrait encore être important et un casse-tête pour Verizon dans sa prochaine acquisition prévue de Yahoo!.

« Le retard de la découverte de l’attaque, deux années complètes, et l’indication qu’il s’agissait d’une attaque parrainée par l’État par le gouvernement suggèrent soit une attaque furtive hautement professionnelle, soit peut-être un échec dans la surveillance du périmètre de la base par la pratique de Yahoo ! interne. Sécurité.

« Dans tous les cas, de sérieuses questions sur le contrôle interne des violations de données doivent être abordées. Il y aura un examen interne important dans Yahoo! et Verizon pour développer un plan de redressement pour ce piratage, mais cela suggère également la nécessité d’un rôle peut-être plus fort du gouvernement et de l’industrie pour accroître la cyberprotection à la lumière de l’augmentation du nombre d’attaques furtives.

« La tristement célèbre attaque furtive contre la banque russe a eu une attaque lente similaire à partir d’une attaque furtive non détectée qui a entraîné une perte estimée à 1 milliard d’euros par plusieurs banques.

« Ce Yahoo! La situation n’est pas à ce niveau de perte financière, mais l’impact et l’augmentation des cyberattaques massives nécessiteront des cyberréponses plus fortes. »

Joe Hancock, responsable de la cybersécurité chez Mishcon de Reya, a déclaré :

« Il s’agit d’une énorme perte de 500 millions d’enregistrements qui n’ont apparemment pas été détectés pendant plus de dix-huit mois. Depuis août, 200 millions d’enregistrements ont été proposés à la vente et pourraient provenir d’une précédente violation de données. Attribuer cette violation à un acteur étatique est inhabituel, car un ensemble de données aussi volumineux serait généralement ciblé par des criminels. Yahoo a agi assez lentement pour confirmer la violation et mettre en place des options de sécurité, même si l’ampleur des données perdues est difficile à comprendre. »

« La version est susceptible d’augmenter l’utilisation d’informations d’identification volées pour d’autres services en ligne ou lorsqu’un mot de passe similaire a été utilisé. Le fait que les questions et réponses de sécurité aient été perdues est également préoccupant, car elles sont souvent communes à de nombreux services – il est difficile de se rappeler de changer le nom de jeune fille ou le premier animal de compagnie de votre mère. D’autres violations historiques sont susceptibles d’être révélées de cette façon, bien qu’elles puissent ne pas être liées à une si grande marque. »

« Cela arrive à un moment difficile pour Yahoo, car cela pourrait affecter sa prochaine vente à Verizon. Après la violation de données de 2013 chez Target, les réclamations légales se sont élevées à des millions de dollars et se sont poursuivies pendant plusieurs années. Dans le cas de TalkTalk, le cours de l’action a chuté de 11,5 % avant de se redresser. Des violations comme celle-ci ont frappé le bilan d’une entreprise. »

Jamie Graves Ph.D, co-fondateur et PDG de la société de cybersécurité ZoneFox.com

Yahoo, qui a récemment été acquis par Verizon, a stupéfié le monde en annonçant ce qui est considéré comme la plus grande violation de données à ce jour. On pense que 500 millions d’enregistrements d’utilisateurs ont été perdus, dont au moins 200 millions ont déjà été confirmés pour la vente sur le Dark Web.

« Yahoo prétend que le fait d’être un État-nation a été compromis, ce qui signifie qu’une équipe de hackers avec les ressources d’un gouvernement a pénétré dans leurs défenses. Ce type d’attaque est souvent difficile à défendre, et de nombreuses autres organisations bien défendues ont été victimes de ce type d’attaque.

« Bien que l’ampleur de la violation soit stupéfiante, ce qui a le plus étonné l’industrie, c’est le fait qu’il a fallu 2 ans à Yahoo pour le divulguer. Pendant ce temps, il y aura eu beaucoup de dommages supplémentaires aux comptes inclus, du piratage de compte au vol d’identité et à la fraude.

« L’attaque de Yahoo montre pourquoi de bonnes capacités de détection, conformément aux lois exigeant cette forme de divulgation à court terme, telles que le RGPD, sont essentielles pour aider à protéger les informations personnelles. De plus, les organisations doivent non seulement mettre en place des mesures de cybersécurité rigoureuses, mais également un plan de reprise après sinistre pour répondre immédiatement à une faille si, parfois, l’inévitable se produit. »

Nicola Fulford, responsable de la protection des données et de la confidentialité chez Kemp Little, cabinet d’avocats spécialisé dans les technologies et les médias numériques:

« Pourquoi a-t-il fallu si longtemps pour Yahoo ! prendre connaissance de l’infraction ? De sérieuses questions doivent être posées sur l’efficacité des mesures de sécurité et des structures de gouvernance de l’information en place. Le simple fait de parler de la violation a révélé un certain nombre de personnes qui avaient leur compte Yahoo! comptes violés en 2014. En vertu de la nouvelle loi GDPR, les violations doivent être signalées sans retard injustifié et au moins dans les 72 heures suivant leur connaissance, les sanctions peuvent aller jusqu’à un maximum de 20 millions d’euros ou 4% du chiffre d’affaires mondial et la notification d’une violation de données pourrait entraîner en soi une sanction.

« Les mots de passe peuvent être modifiés, mais les réponses concrètes aux questions de sécurité (telles que le nom de jeune fille de la mère) ne le peuvent pas. Connaître les réponses de sécurité pourrait donner aux pirates un accès complet aux e-mails et autres comptes, qui contiennent des détails sur une variété d’informations sensibles sur les finances, la santé, la famille et la carrière. Ces informations permettraient à quiconque y ayant accès de créer une image détaillée de la vie de quelqu’un et de permettre le vol d’identité. Les critères actuels de l’ICO pour s’attendre à être informé d’une violation de données tiennent compte de la sensibilité des données et du volume de données : Yahoo! violation cochez les deux cases.

« La récente décision du tribunal concernant la violation de TalkTalk a révélé que les clients qui soulèvent des plaintes détaillées peuvent donner à une entreprise une connaissance suffisante de la violation. En vertu des règles de notification obligatoire des violations, ils n’ont pas de temps supplémentaire pour enquêter avant d’être tenus de signaler la violation. Alors que Yahoo! peuvent ne pas être soumis aux mêmes lois impératives que TalkTalk actuellement, à la lumière de l’accord avec Verizon, ils peuvent toujours regretter de ne pas avoir été ouverts avec leurs clients (et l’ICO) auparavant. « 

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.