Kevin Bocek, Chief Security Strategist chez Venafi commente cette actualité :

" Yahoo a subi deux cyber attaques qui se sont directement répercutées sur 1.5 milliards d’utilisateurs. Il semble probable que les données aient été cryptées pendant l’exfiltration et c’est ainsi que les hackers ont réussi à transférer une si grande quantité de données tout en échappant au contrôle de sécurité de Yahoo. Il est pratiquement impossible, pour n’importe quelle organisation de détecter un trafic non autorisé, crypté, entrant ou sortant du réseau s’il n’y a pas des pratiques de chiffrement fortes.

Il est également tout à fait possible que les hackers qui ont commis l’infraction en 2013, aient conservé l’accès au réseau Yahoo, pour l’attaquer de nouveau en 2014. Notre recherche indique qu’il serait très difficile pour Yahoo de détecter le détournement de leurs actifs mis en place pour sécuriser le cryptage. Ceci n’a rien de surprenant : nous constatons que beaucoup de grandes organisations, même avec de gros investissements dans leur système de sécurité, n’ont pas la visibilité nécessaire ou la possibilité de contrôler le chiffrement qu’elles produisent pour protéger leurs données sensibles.

En septembre, tout de suite après que Yahoo ait divulgué son infraction de 2014 qui a conduit 500 millions de données utilisateurs Yahoo d’être exfiltrées, Venafi Labs a réalisé une analyse externe approfondie des principaux sites web de Yahoo détaillant ainsi la façon dont ces sites utilisent le chiffrement. Les équipes de Venafi Labs ont trouvé que les pratiques de chiffrement de leurs données peuvent être relativement faibles ".

Principaux résultats de Venafi Labs

• Les équipes du laboratoire de recherche Vénafi - "Venafi Labs", ont analysés des données via TrustNet, la base de données mondiale sur les "Certificate Intelligence" et ont constaté que 27% des certificats sur Yahoo n’ont pas été réédités depuis janvier 2015. Même si les certificats sont remplacés, ce qui pourrait réduire les dégâts, Yahoo ne peut avoir la certitude que les hackers n’ont pas les accès actuels aux communications cryptées.

• Seulement 2,5% des 519 certificats déployés l’ont été durant les 90 derniers jours. Il est donc très probable que Yahoo ! n’ait pas la capacité de trouver et remplacer des certificats numériques rapidement… Et malheureusement c’est problème très commun, même pour les grandes organisations qui ont une présence importante en ligne.

• Les données étudiées par "Venafi Labs" comportent un nombre impressionnant de certificats Yahoo qui utilisent MD5, une fonction de hachage cryptographique pouvant être renversée par une attaque brutale : MD5 souffre de sérieuses failles qui sont par ailleurs très bien documentées. Par exemple Flame, une famille de logiciels malveillants souvent utilisés par les départements espionnage de certains pays, a exploité une vulnérabilité MD5.

• Tous les certificats MD5 utilisés par Yahoo aujourd’hui et bien d’autres certificats évalués par "Venafi Labs" sont émis par les entreprises elles-mêmes. Un certificat MD5 actuel utilise des caractères génériques (*.yahoo.com) et a une date d’expiration de 5 ans. Les certificats de ce type (avec des dates d’expirations très longues et émis par les entreprises elles-mêmes ou encore ceux qui utilisent des caractères génériques) sont tous les symptômes d’un contrôle cryptographique très faible.

• 41% des certificats de Yahoo sur l’ensemble des données de TrustNet utilisent SHA-1, un algorithme de hachage qui n’est plus considéré comme sécurisé contre des détracteurs disposant de gros moyens financiers. Les principaux vendeurs de navigateurs ont déclaré qu’ils arrêteraient les certificats SHA-1 en janvier 2017.