On en sait désormais plus que les piratages consécutifs qui ont touché Yahoo pendant plusieurs années. Quatre Russes ont été inculpés par le FBI, deux pirates et deux agents du FSB. L'agence américaine a aussi dévoilé une chronologie des évènements.
Yahoo a enchainé les mauvaises nouvelles au cours des derniers mois, obligeant l’éditeur à nombreuses communications pour tenter de contrôler les dégâts. Les trois principales annonces avaient de quoi faire frémir : d’abord la fuite des données d’un demi-milliard de comptes, puis celle d’un milliard, pour enfin finir sur la confirmation de piratages ayant encore eu lieu en 2016. Des confirmations si lourdes que Verizon a obtenu 350 millions de rabais sur son offre de rachat.
Quatre Russes, dont deux agents de l'ex-KGB
Maintenant que certains documents de l’enquête sont révélés par le ministère américain de la Justice, on peut reconstituer ce qui s’est passé, tout du moins dans les grandes lignes. Quatre Russes sont impliqués, selon le Bureau : deux pirates (Alexsey Belan et Karim Baratov) et deux agents du FSB (Dmitry Dokuchaev et Igor Sushchin), dont les missions sont à mi-chemin de la NSA et de la CIA (sécurité intérieure et missions de surveillance électronique à l’extérieur) et qui a pris la relève du KGB.
On apprend donc que l’attaque aurait été soigneusement préparée pour viser un employé de Yahoo disposant de certains privilèges, sans toutefois viser trop haut. Il s’agissait « probablement » d’après un agent du FBI (interviewé par Ars Technica) de spear phishing (harponnage), une technique de phishing matinée d’ingénierie sociale pour adapter l’attaque à la victime. Réussite de l’opération, qui aurait permis d’obtenir des identifiants et donc un premier pied dans la forteresse.
De la base de données à l'outil tant attendu
Selon le FBI, le pirate Alexsey Belan a pu alors explorer une partie du réseau interne de l’entreprise, à la recherche d’outils pouvant lui être utiles. Il aurait ainsi découvert la base de données des utilisateurs, ainsi qu’un premier outil, Account Management Tool, permettant d’y réaliser des opérations. À partir de là, il était supposément en capacité de modifier le mot de passe du compte. Il restait cependant toujours le risque d’une détection, car l’utilisateur avait de grandes chances de réagir en faisant une réinitialisation.
Le Graal fut un outil déjà abordé dans nos précédentes actualités, capable de créer de faux cookies, ouvrant à leur tour l’accès aux comptes sans toucher aux mots de passe. Ces petits fichiers étaient créés grâce à l’utilisation d’un numéro cryptographique (nonce) associé à chaque utilisateur. Armé de ces outils, Alexsey Belan aurait commencé à transférer des informations depuis les serveurs de Yahoo vers un ordinateur personnel, entre novembre et décembre 2014, en utilisant le protocole FTP. Cette aspiration aurait visé un échantillon de 6 500 comptes.
Le FBI évoque des cibles prioritaires
D’après les documents du FBI, le groupe avait en tête des cibles bien précises pour ce lot de données : des journalistes russes, des membres des gouvernements américain et russe, des employés d’une importante société russe de sécurité (Kaspersky ?), et de nombreux employés chez les fournisseurs de services, une banque d’investissement russe, une société française de transports, les services financiers américains, une banque suisse ou encore une compagnie aérienne américaine.
Cette première attaque est celle qui aurait mené un peu plus tard à la fuite des données d’un demi-milliard de comptes, la même technique étant utilisée à chaque fois. Notez cependant que les pirates et agents du FSB n’ont a priori pas pu éviter de laisser des traces, retrouvées par la suite. Les cookies générés ne pouvaient en effet fonctionner que si le mot de passe restait inchangé. Un nombre croissant ayant été modifié par la suite, les cookies créaient des erreurs, répertoriées dans les journaux (logs) de Yahoo.
Un pillage continu de deux ans
Le FBI a également précisé que le « pillage » de Yahoo aurait duré environ deux ans. Il n'y aurait donc pas eu de phases, les pirates n’ayant jamais réellement coupé le lien. L’accès aurait été quasi permanent, seules les fuites de données étant organisées par vagues. Un accès d'ailleurs très discret puisque les traces existaient, mais n’étaient pas assez visibles en premier lieu pour susciter une alerte. On se rappelle quand même qu’à compter de la première enquête interne, l’opération avait été en partie démasquée, Yahoo ne communiquant cependant que bien après.
L’agence fédérale a annoncé que les quatre Russes avaient été inculpés, mais un seul sera prochainement incarcéré dans une prison américaine : Karim Baratov, arrêté au Canada le soir du 14 mars. Les autres resteront sur la liste des « most wanted » du FBI, mais on ne sait à l’heure actuelle où ils se trouvent. Par ailleurs, sans accord d’extradition entre la Russie et les États-Unis, il y a peu de chances que l’agence américaine mette la main dessus s’ils parviennent à regagner leur terre natale.
Signalons enfin que les résultats de l’enquête tendraient à prouver que Yahoo n’avait pas menti. L’entreprise avait indiqué être victime d’une attaque soutenue par un État, ce qui serait donc effectivement le cas. Il faudra cependant un procès et la confirmation d'un juge.
