La Russie dément avoir orchestré la cyberattaque contre Yahoo

Derniers développements

Liste de tags

Imputée par les autorités américaines à deux membres des services secrets russes, la cyberattaque massive contre Yahoo n’aurait nullement impliqué la Russie selon le Kremlin.

Cette prise de position survient en réponse à l’annonce par le Département de la justice des États-Unis, mercredi, de l’inculpation de deux espions russes et deux pirates russe et canadien à propos de la cyberattaque massive révélée l’an dernier contre Yahoo ayant compromis la confidentialité de plus de 500 millions d’utilisateurs.

«La Russie a toujours souhaité […] coopérer dans la lutte contre les cybercrimes afin d’assurer la sécurité du cyberespace.»

«Il est impossible qu’une administration russe, y compris le Service fédéral de sécurité (FSB), soit officiellement impliquée dans des actes illégaux commis dans le cyberespace», a déclaré le porte-parole du Kremlin, Dmitri Peskov. «La Russie a toujours souhaité, et elle l’a démontré à plusieurs niveaux, coopérer dans la lutte contre les cybercrimes afin d’assurer la sécurité du cyberespace.»

Selon le FBI, les deux membres du FSB auraient «protégé, dirigé, facilité et payé des pirates informatiques criminels» pour mener des cyberattaques aux États-Unis et dans d’autres pays, dans le but d’accéder notamment aux comptes de journalistes russes, de responsables gouvernementaux russes et américains, ainsi que de salariés d’entreprises privées de divers pays. Les agents en question seraient membres de l’unité du FSB qui sert de point de contact pour le FBI à Moscou en matière de cybercriminalité.

Les agents Dmitry Aleksandrovich et Igor Anatolyevich Sushchin, et le pirate Alexsey Alexseyevich Belan se sont ainsi retrouvés sur la liste des fugitifs les plus recherchés du FBI. Pour sa part, Karim Baratov a été arrêté mardi à Hamilton par l’escouade des fugitifs de la police de Toronto à la demande des autorités américaines.

Alors que ce pirate a d’abord été présenté par certains médias comme ayant la double nationalité canadienne et kazakhe, le Ministère des Affaires étrangères du Kazakhstan a affirmé cette nuit sur Twitter que Baratov avait fait annuler sa nationalité en 2011.

Rappel des faits

Rappelons que la base de données de Yahoo a été violée à deux occasions : une fois en août 2013, puis une autre fois à la fin de 2014, révélant chaque fois les détails de comptes pour des centaines de millions d’utilisateurs. Les accusations portées par le FBI cette semaine concernent uniquement la seconde cyberattaque de 2014 ayant compromis au moins 500 millions de comptes.

Comme le rapporte Ars Technica, l’enquête menée par le FBI allègue que les pirates auraient exploité diverses méthodes, y compris l’hameçonnage, afin d’inciter les gens à installer des maliciels ou à divulguer leur mot de passe, dont un employé de Yahoo ayant des autorisations «semi-privilégiées». Ils seraient parvenus à fabriquer un témoin d’authentification leur permettant d’accéder à terme à des comptes administrateurs.

Une fois dans le réseau de Yahoo, les suspects auraient gagné la capacité de forger de nouveaux témoins d’authentification à leur guise en exploitant une faille dans le système – les valeurs pseudo-aléatoires, uniques à chaque compte, sont devenues invalides à partir de novembre 2014. Ces témoins forgés avaient vraisemblablement la capacité d’être perçus comme valides par le système, même lorsque le compte ciblé était protégé par une authentification avec validation en deux étapes.

Marissa Mayer, PDG de Yahoo.

Marissa Mayer, PDG de Yahoo.

Dès la révélation de la première cyberattaque, les regards se sont tournés vers la PDG de Yahoo, Marissa Mayer, blâmée pour avoir refusé d’investir dans des mesures de sécurité plus robustes. Elle a reconnu publiquement cette erreur par la suite, renonçant en conséquence à son salaire annuel, prime et subvention d’équité pour l’exercice de 2016.

Les détails à propos de ces actes de piratage ont été rendus publics qu’après que Yahoo ait accepté l’offre de rachat du géant américain des télécommunications Verizon. Sans surprise, la nouvelle a causé des tensions importantes lors des pourparlers liés à la transaction, qui a été abaissée de 350 millions de dollars US, pour un total de 4,4 milliards.