Clic fatal. Tel pourrait être le nom du film retraçant l'incroyable histoire du plus grand hack de l'histoire. C'est en effet par un simple clic sur un email de spear phishing envoyé à une innocente victime que des hackers, en lien avec les services de sécurité russes, ont réussi à accéder au réseau de Yahoo et accéder potentiellement aux messages des emails et à de l'information privée de près de 500 millions de personnes, voire près d'un milliard aux dires de certains experts. Le FBI enquête sur cette intrusion depuis 2 ans mais ce n'est que depuis fin 2016 que l'ampleur du hack a été connu. Mercredi, le FBI a indiqué que 4 personnes sont impliquées dans cette affaire, deux d'entre eux étant des espions russes. D'après le FBI, le hack a commencé avec un email de spear phishing envoyé début 2014 à un employé de Yahoo. La lumière n'as cependant pas été faite sur le nombre d'employés visés ainsi que sur le nombre d'emails envoyés, mais il a fallu qu'une seule personne clique sur un lien pour que le pire se produise.

Alesksey Belan, un hacker lituanien engagé par les agents russes a commencé à roder autour du réseau et recherchait deux cibles très particulières : la base de données utilisateurs de Yahoo et l'outil de gestion de comptes utilisé pour éditer cette base de donnée. Il les a trouvés rapidement et est parvenu à installer un backdoor sur le serveur de Yahoo lui permettant un accès. En décembre, il a volé une sauvegarde de la base de données utilisateur de Yahoo et l'a transférée sur son propre ordinateur. La base de données contenait des noms, numéros de téléphone, questions de récupération de mots de passe et plus critique encore, les emails de récupération de mots de passe et une valeur unique de chiffrement pour chaque compte. Ce sont ces deux derniers éléments qui ont permis à Aleskey Belan et à Karim Baratov de cibler et d'accéder aux comptes de certains utilisateurs visés par les agents russes Dimitry Dokuchaev et Igor Sushchin.

6 500 personnes minutieusement ciblées

L'outil de gestion de comptes ne permettait pas des recherches par texte simple de noms d'utilisateurs, alors les hackers se sont tournés vers les adresses email de récupération de mots de passe. Parfois, ils ont été en mesure d'identifier des cibles grâce à ces adresses, et parfois le nom de domaine leur a permis de savoir où le détenteur du compte travaillait, pour quelle entreprise ou organisation. Une fois les comptes identifiés, les hackers ont été capables d'utiliser les valeurs de chiffrement volées appelées « nonces » pour générer des cookies d'accès au travers d'un script installé sur un serveur de Yahoo. Ces cookies, qui ont été générés un grand nombre de fois tout au long de 2015 et 2016, ont donné un accès libre à un compte email d'un utilisateur sans entrer de mot de passe.

La méthode utilisée par Alesksey Belan et son comparse a été particulièrement minutieuse. Sur les 500 millions de comptes auxquels ils pouvaient potentiellement accéder, ils ont seulement généré des cookies pour près de 6 500 comptes. Parmi les victimes des hackers on trouve notamment l'assistant du vice-président de la Russie, un officier du ministère des Affaires Intérieures de la Russie ainsi qu'un formateur du ministère des Sports russe. Les autres sont des journalistes russes, des focntionnaires du gouvernement américain, un employé de la société Swiss Bitcoin ou encore un salarié d'une compagnie aérienne américaine.

Le FBI au courant dès 2014

Yahoo a approché le FBI en 2014 en le prévenant que 26 comptes ont été ciblés par des pirates. Mais ce n'est qu'en août 2016 que l'ampleur de la brèche est apparue et que l'enquête du FBI a considérablement avancé. En décembre 2016, Yahoo a officiellement communiqué sur les détails de cette attaque et prévenu des centaines de millions d'utilisateurs pour qu'ils changent leurs mots de passes.