Nicolas Arpagian (Orange Cyberdéfense) : "Entre l'incompétence et la malhonnêteté, Yahoo! va devoir choisir"

Yahoo! a reconnu jeudi que 500 millions de comptes de ses utilisateurs ont été piratés fin 2014. Un piratage réalisé par une entité probablement liée à un Etat, selon l'entreprise. Les hackers ont volé des informations personnelles comme des dates de naissance, des noms, des adresses électroniques, des numéros de téléphone ou des mots de passe. Nicolas Arpagian, directeur de la stratégie d'Orange Cyberdéfense et auteur du livre "La cybersécurité", a mis en doute vendredi 23 septembre sur franceinfo, l'action d'un Etat étranger et estimé qu'"entre l'incompétence et la malhonnêteté, Yahoo! va devoir choisir."

franceinfo : Etes-vous surpris par un tel piratage ?

Nicolas Arpagian : On assiste à une montée en puissance des volumes de piratage. Il y a quelques mois LinkedIn avait vu également des dizaines de millions de comptes piratés. VK (le Facebook Russe) était également sur des volumes comparables. Ça devient une industrialisation des pillages de ses données personnelles.

Yahoo! parle d'un Etat étranger qui serait responsable. Faut-il y croire ?

Non, parce que l'attaque ne correspond pas aux centres d'intérêts d'un Etat. Les Etats essayent de viser les messageries de personnes qu'ils ont préalablement identifiées, décideurs politiques, responsables économiques, activistes et autres. Les messageries sont un élément de notre intimité personnelle et professionnelle. Ce sont par elles que l'on transmet des données essentielles comme des RIB.

Le piratage date de 2014, pourquoi une annonce aussi tardive ?

Yahoo! est aujourd'hui devant un dilemme. Soit dire 'Je suis incompétent, je n'avais pas les outils me permettant de relever et d'identifier une attaque d'une telle ampleur' ou au contraire 'J'ai été menteur et j'ai dissimulé cette information mes clients'. Entre l'incompétence et la malhonnêteté, Yahoo! va devoir choisir. Yahoo!, on le rappelle est en situation un peu difficile. Le groupe est en vente et cette annonce va altérer les conditions de la négociation. Le prix de 4,8 milliards d'euros proposé par Verizon va forcément être revu à la baisse. Il va également falloir envisager les éventuelles actions judiciaires, les fameuses class actions [les actions collectives de groupe, ndlr]). Maintenant Yahoo! va devoir coopérer en fournissant les éléments techniques. Mais vu le décalage de temps, ça va être difficile. Il faut aussi faire profil bas. Mettre en place les outils pour que les utilisateurs puissent disposer d'une information claire et accessible sur l'attitude à avoir. Le problème d'une messagerie, et notamment numérique, c'est avant tout la confiance.

Que peut-il arriver à une victime du piratage ?

Quand on parle de données personnelles volées, il s’agit pour une personne, du nom, du prénom de la date de naissance. Eventuellement, il peut y avoir des mots de passe, dont celui qui donne accès à votre messagerie. En théorie, c’est un accès au contenu de vos emails, donc à tout ce que vous livrez dans votre correspondance. Il peut y avoir aussi les réponses aux questions secrètes, le nom de jeune fille de votre mère par exemple. Si vous utilisez les mêmes mots de passe avec les mêmes réponses, on va pouvoir tester l’accès à vos comptes Facebook ou Twitter. Comme c’est fait de façon automatisée, les personnes qui n’ont pas utilisé de mots de passe suffisamment diversifiés risquent de voir leurs autres comptes piratés, en tout cas ceux protégés par le même mot de passe.  

Il faut changer les mots de passe ainsi que les réponses aux questions secrètes, aux questions de rattrapage que l’on vous pose quand vous avez oublié votre mot de passe.

Une usurpation d’identité est-elle possible ?

Ce sont tous ces éléments qui vont permettre lors d’une usurpation d’identité d’avoir la saveur de la vérité. Quand je vais écrire à vos contacts, solliciter un prêt ou usurper votre identité sur internet, les éléments vont crédibiliser la fausse identité puisqu’ils seront fondés sur des informations réelles.