Résumé
- Les violations historiques des comptes Yahoo sont devenues un test de responsabilité d'identité des consommateurs car les données des comptes sont restées utiles après les intrusions et la divulgation publique est arrivée des années après la compromission sous-jacente.
- Qui avait le contrôle pratique sur la détection des violations, l'escalade exécutive, la protection des mots de passe et des questions de sécurité, le calendrier de notification des utilisateurs, la divulgation lors de l'acquisition, les preuves réglementaires et la preuve que la remédiation correspondait à l'ampleur de l'exposition des comptes?
- Le problème de responsabilité est que le temps entre la compromission, la connaissance interne, la divulgation publique et la réparation exécutoire peut faire partie du préjudice lorsque les données des comptes restent utiles aux attaquants.
- Les utilisateurs, propriétaires de comptes email, annonceurs, acquéreurs, régulateurs, investisseurs, banques et équipes de risque d'identité avaient besoin de preuves que le calendrier de notification, les réinitialisations de mots de passe et les changements de gouvernance traitaient le risque de compte à long terme.
- L'article traite les documents de la SEC et du DOJ comme des dossiers officiels d'application et de poursuite, les déclarations de l'entreprise et de l'acquéreur comme des preuves publiques de transaction, et les cadres de confidentialité/sécurité comme des références pour la réparation plutôt que comme une preuve des journaux privés de Yahoo.
Pourquoi ce cas appartient à un dossier de risques et de responsabilité
Yahoo a fait du calendrier de divulgation des violations un test de responsabilité d'identité des consommateurs car le problème public n'était pas seulement que les données des comptes avaient été volées. Le problème était que le public a appris l'existence de compromissions historiques massives des années après les événements sous-jacents, tandis que les données des comptes, les hachages de mots de passe, les questions de sécurité, les adresses email, les numéros de téléphone, les dates de naissance et les mécanismes liés aux sessions pouvaient rester utiles aux attaquants, fraudeurs et équipes de risque d'identité.
Le décalage temporel est devenu une partie du préjudice. Une violation divulguée tardivement n'est pas seulement un communiqué de presse en retard. C'est une période pendant laquelle les utilisateurs, contreparties, acquéreurs et régulateurs peuvent prendre des décisions sans les preuves dont ils ont besoin.
Le document public officiel le plus important est l'ordonnance de la SEC de 2018 contre Altaba, anciennement Yahoo, disponible àhttps://www.sec.gov/files/litigation/admin/2018/33-10485.pdfet le communiqué de presse de la SEC àhttps://www.sec.gov/news/press-release/2018-71. Ces documents ne sont pas un rapport technique complet sur chaque système de Yahoo. Ils sont un dossier d'application concernant les contrôles de divulgation, les dépôts publics et la manière dont les informations sur la violation de 2014 ont été traitées avant que Yahoo ne la divulgue publiquement en 2016. Cela les rend centraux pour la question de responsabilité: non seulement ce que les attaquants ont fait, mais ce que l'institution savait, a escaladé, a enquêté et a dit aux utilisateurs et aux investisseurs.
Le dossier du Department of Justice (DOJ) àhttps://www.justice.gov/opa/pr/us-charges-russian-fsb-officers-and-their-criminal-conspirators-hacking-yahoo-and-millionsplace la compromission de 2014 dans un contexte de poursuites pénales. Les allégations du DOJ ne sont pas les mêmes qu'une conclusion civile sur les contrôles de divulgation, et elles ne répondent pas à toutes les questions de gouvernance au sein de Yahoo. Elles montrent que le dossier public incluait des activités présumées liées à des États et criminelles à une échelle extraordinaire. Lorsqu'un fournisseur de comptes de la taille de Yahoo est compromis, le préjudice ne se limite pas à un seul site web. Les comptes email peuvent être des hubs de réinitialisation de mots de passe, des dépôts d'archives, des identités publicitaires, des listes de contacts, des adresses de notification bancaire et des points d'accès aux services publics.
La question manifeste est directe: Qui avait le contrôle pratique sur la détection des violations, l'escalade exécutive, la protection des mots de passe et des questions de sécurité, le calendrier de notification des utilisateurs, la divulgation lors de l'acquisition, les preuves réglementaires et la preuve que la remédiation correspondait à l'ampleur de l'exposition des comptes? La réponse ne peut pas être réduite aux attaquants.
Les attaquants ont causé l'intrusion, mais Yahoo contrôlait l'architecture de sécurité des comptes, la journalisation, l'escalade, les contrôles de divulgation, la notification des utilisateurs, les représentations lors des transactions et les preuves de remédiation. Le dossier de responsabilité doit suivre chacun de ces contrôles séparément.
Une violation de compte n'est pas un événement d'un jour
Les violations de comptes ont une longue traîne car les données des comptes peuvent être réutilisées longtemps après la copie d'une base de données. Une carte de paiement peut être remplacée. Un mot de passe peut être réinitialisé. Mais la date de naissance d'un utilisateur, son ancienne adresse email, sa question de récupération, son graphe de contacts et son historique de compte peuvent conserver de la valeur. Les comptes email sont particulièrement sensibles car ils se trouvent souvent derrière d'autres comptes.
Une adresse email compromise peut soutenir le phishing, les attaques de réinitialisation de mot de passe, l'usurpation d'identité et la collecte ciblée de renseignements. C'est pourquoi le dossier de violation de Yahoo est différent d'un incident de site web étroit.
La violation de 2014 divulguée en 2016 et la violation de 2013 décrite plus tard comme affectant tous les comptes Yahoo sont devenues des tests de responsabilité car l'ampleur a modifié la charge de l'utilisateur. Un seul utilisateur ne peut pas savoir si une question de sécurité historique a été exposée, si un ancien hachage de mot de passe est toujours utile, si un email de récupération a été ciblé, ou si un mécanisme de session falsifié a affecté son compte. Le fournisseur dispose des journaux, des rapports d'incident, de la télémétrie d'authentification et de la machinerie de notification des utilisateurs.
Si le fournisseur retarde la divulgation ou donne des conseils de réparation génériques, l'utilisateur porte l'incertitude sans preuve.
Les reportages publics de Wired àhttps://www.wired.com/2016/09/yahoo-breach-500-million-accounts/et de KrebsOnSecurity àhttps://krebsonsecurity.com/2016/09/yahoo-says-500-million-accounts-stolen/ont capturé le choc public initial de 2016 autour de la divulgation de 500 millions de comptes. Ces sources doivent être traitées comme une chronologie et un contexte, et non comme un accès à tous les faits médico-légaux privés. Leur valeur est qu'elles montrent quand les utilisateurs et le public ont commencé à recevoir des informations actionnables, et à quel point c'était tardif par rapport à la chronologie de l'intrusion de 2014 décrite dans les dossiers d'application.
La nature à longue traîne des données de compte modifie le standard de divulgation. Si l'avis est retardé, l'utilisateur ne peut pas protéger rétroactivement chaque compte lié qui faisait confiance à la boîte aux lettres Yahoo. Une banque ne peut pas traiter rétroactivement une ancienne adresse Yahoo comme suspecte. Un annonceur ne peut pas modéliser rétroactivement la perte de confiance des utilisateurs. Un acquéreur ne peut pas négocier à partir de la même position de preuve. Le retard devient donc une partie de la mécanique de l'incident. Ce n'est pas simplement un problème de communication après la fin de l'événement technique.
La détection sans escalade n'est pas une responsabilité
De nombreux récits de violation se concentrent sur la question de savoir si l'entreprise a détecté l'intrusion. Le dossier d'application de Yahoo montre pourquoi cette question ne suffit pas. La détection n'est utile que si elle déclenche une enquête, une escalade, une protection des utilisateurs et des décisions de divulgation. Une organisation peut avoir des employés de sécurité qui identifient des preuves sérieuses et échouer encore à la responsabilité si les systèmes juridiques, exécutifs et de divulgation ne convertissent pas cette connaissance en action. L'ordonnance de la SEC àhttps://www.sec.gov/files/litigation/admin/2018/33-10485.pdfest importante car elle a traité les contrôles et procédures de divulgation comme faisant partie du dossier de l'incident.
La chaîne de responsabilité doit être lue par étapes. Premièrement, le personnel de sécurité identifie des preuves de compromission. Deuxièmement, les preuves atteignent des personnes capables d'évaluer le préjudice pour l'utilisateur et les obligations de divulgation. Troisièmement, l'organisation enquête sur la portée et l'incertitude. Quatrièmement, les utilisateurs reçoivent des mesures de protection pratiques. Cinquièmement, les investisseurs et les contreparties de transaction reçoivent des informations matérielles lorsque requis. Sixièmement, les constatations ultérieures sont conciliées avec les déclarations publiques antérieures.
Si une étape échoue, la violation technique devient un échec de gouvernance.
Ce n'est pas une exigence de divulgation imprudente avant que les faits ne soient connus. Les incidents de sécurité commencent souvent avec des preuves incomplètes. Une entreprise peut avoir besoin de temps pour éviter d'alerter les attaquants, préserver les journaux, coordonner avec les forces de l'ordre et déterminer la portée. Mais l'incertitude n'excuse pas le silence indéfiniment. Un processus responsable dit ce qui est connu, ce qui n'est pas connu, quelles actions utilisateur sont prudentes maintenant et quand le dossier public sera mis à jour.
Il documente également qui a pris la décision d'attendre et quelles preuves ont soutenu cette décision.
Le NIST Cybersecurity Framework àhttps://www.nist.gov/cyberframeworkest utile ici car il fait de la détection, de la réponse et de la récupération un seul cycle. La détection n'est pas un état final. Elle alimente la réponse. Les CIS Critical Security Controls àhttps://www.cisecurity.org/controlsfournissent un vocabulaire similaire autour de l'inventaire, de la gestion des comptes, du contrôle d'accès, de la journalisation, de la réponse aux incidents et de la gouvernance des fournisseurs de services. Ces cadres ne prouvent pas les faits privés de Yahoo. Ils aident à définir pourquoi une violation détectée mais non divulguée peut rester un problème de risque actif pour l'utilisateur.
Les mots de passe et les questions de sécurité sont des objets de réparation, pas seulement des champs volés
Lorsque les données de compte sont exposées, le public demande souvent si les mots de passe étaient hachés. Cela importe, mais ce n'est pas la seule question de réparation. Un hachage de mot de passe a un coût à casser, et ce coût dépend de l'algorithme de hachage, du salage, de la force du mot de passe, des ressources de l'attaquant et du temps. Une question de sécurité peut être pire qu'un mot de passe faible car elle peut être réutilisée entre services et peut ne pas être facilement modifiée. Une date de naissance ou un numéro de téléphone peut soutenir l'ingénierie sociale.
Une adresse email peut aider les attaquants à cibler l'utilisateur ailleurs.
Le dossier de violation de Yahoo incluait des questions de mot de passe et de sécurité à une échelle énorme. Une réponse responsable devrait séparer chaque objet de réparation. La réinitialisation du mot de passe est une voie. Invalider les questions de sécurité en est une autre. Bloquer les cookies ou mécanismes de session falsifiés en est une autre. Notifier les utilisateurs de vérifier d'autres comptes en est une autre. Surveiller les tentatives de connexion suspectes en est une autre. Le public ne devrait pas accepter une seule phrase comme "nous avons pris des mesures pour sécuriser les comptes" comme substitut à ces voies.
Les documents du NIST sur l'identité numérique àhttps://pages.nist.gov/800-63-3/et les conseils sur les authentificateurs àhttps://csrc.nist.gov/pubs/sp/800/63/b/upd2/finalsont pertinents comme vocabulaire de contrôle. Ils ne décident pas rétroactivement des obligations légales de Yahoo en 2013 ou 2014. Ils montrent pourquoi les secrets, les authentificateurs, les mécanismes de récupération et les contrôles de vérificateur nécessitent un traitement attentif. La page MITRE ATT&CK sur les cookies de session web àhttps://attack.mitre.org/techniques/T1550/004/aide également à expliquer pourquoi les mécanismes de session peuvent devenir un risque d'authentification même lorsque le mot de passe de l'utilisateur n'est pas tapé par l'attaquant.
Les questions de sécurité méritent une attention particulière car elles sont souvent traitées comme des commodités de service client. Elles sont en réalité des revendications d'identité durables. Un utilisateur peut avoir donné la même réponse d'école d'enfance à de nombreux services. Si cette réponse est exposée, changer le mot de passe Yahoo ne retire pas la réponse de la vie de l'utilisateur.
Un fournisseur qui expose des données de questions de sécurité devrait expliquer si les questions et réponses étaient chiffrées, si elles ont été invalidées, si les utilisateurs ont été obligés de choisir de nouvelles méthodes de récupération et si l'entreprise a réduit sa dépendance à ces questions à l'avenir.
Le standard de réparation est la proportionnalité. Une violation affectant des centaines de millions ou des milliards de comptes nécessite plus qu'un avis unique. Elle nécessite des preuves durables de durcissement des comptes, des changements dans la conception de la récupération, l'invalidation des sessions suspectes, l'application de la réinitialisation et une éducation des utilisateurs qui distingue la sécurité du compte Yahoo du risque d'identité interservices.
Les cookies falsifiés ont fait de la chronologie plus qu'une histoire de mot de passe
L'un des détails les plus importants du dossier Yahoo est que l'historique des incidents ne concernait pas seulement des champs de base de données volés. Les dépôts publics d'entreprise et les dossiers d'application ont discuté de cookies falsifiés ou d'accès aux comptes liés aux sessions comme faisant partie de l'historique de sécurité de Yahoo. Un problème de cookie falsifié change le cadre de responsabilité car il peut permettre l'accès au compte sans saisie normale de mot de passe.
Cela signifie qu'un utilisateur qui change de mot de passe peut ne pas comprendre le risque complet à moins que les jetons de session, les cookies et les chemins de récupération de compte ne soient également invalidés et surveillés.
La page MITRE sur l'abus de cookies de session web àhttps://attack.mitre.org/techniques/T1550/004/donne une terminologie générale pour expliquer pourquoi le vol ou la falsification de cookies peut contourner les attentes d'authentification ordinaires. Elle ne prouve pas les détails privés des systèmes de Yahoo. Elle aide les lecteurs à comprendre pourquoi la remédiation des comptes doit inclure l'invalidation des sessions et les contrôles côté serveur, pas seulement les changements de mot de passe côté utilisateur.
Cela importe pour le calendrier de divulgation. Si une organisation sait que les attaquants ont une méthode pour accéder aux comptes via des mécanismes de session, un avis retardé peut laisser les utilisateurs avec un faux sentiment de sécurité. Ils peuvent croire qu'un changement de mot de passe suffit alors que la réparation dépend également de l'invalidation côté serveur. Le fournisseur contrôle ces leviers côté serveur. Les utilisateurs ne peuvent pas les inspecter.
Les régulateurs et les acquéreurs ont donc besoin de preuves que le fournisseur a identifié le mécanisme, l'a désactivé, a invalidé les sessions affectées et a surveillé les abus résiduels.
La responsabilité ici n'est pas de publier des détails d'exploitation. Un fournisseur ne devrait pas divulguer des informations qui aident les attaquants. Il peut quand même dire si les jetons de session ont été invalidés, si les utilisateurs affectés ont été obligés de se réauthentifier, si les schémas d'accès suspects ont été examinés, si les paramètres de récupération ont été vérifiés et si les contrôles de génération de jetons futurs ont changé. Ce type de preuve aide les utilisateurs sans révéler un plan.
Le cas Yahoo reste utile car il montre comment les violations de comptes peuvent avoir plusieurs voies techniques. Une base de données de comptes volée, des protections de mots de passe faibles ou vieillissantes, des questions de sécurité et des sessions falsifiées sont des risques différents. Si l'avis public les comprime en une seule étiquette de violation de compte, l'utilisateur ne peut pas savoir quelles mesures de réparation importent.
La transaction Verizon a montré que les faits cybernétiques sont des faits de transaction
Les divulgations de violation de Yahoo sont entrées en collision avec la vente de l'activité opérationnelle de Yahoo à Verizon. L'annonce de Verizon en février 2017 àhttps://www.verizon.com/about/news/verizon-and-yahoo-amend-terms-definitive-agreementindiquait que les parties avaient modifié leur accord, y compris une réduction de la contrepartie en espèces. L'annonce de clôture de Verizon àhttps://www.verizon.com/about/news/verizon-completes-acquisition-yahoos-operating-businessa clos le dossier de la transaction. Ces sources importent car elles montrent que le calendrier de divulgation des violations n'a pas seulement affecté les utilisateurs et les régulateurs. Il a affecté l'économie de l'acquisition et l'allocation des risques.
Le contexte d'acquisition est important pour deux raisons. Premièrement, il montre que les preuves cybernétiques peuvent devenir des preuves de prix. Si un acheteur apprend tardivement qu'une entreprise cible avait des violations massives non divulguées ou nouvellement divulguées, l'acheteur doit réévaluer les passifs, la confiance des utilisateurs, les coûts de remédiation, l'exposition réglementaire et le risque d'intégration. Deuxièmement, il montre que les contrôles de divulgation ont des contreparties au-delà des investisseurs publics.
Une entreprise négociant une transaction doit savoir si son dossier cybernétique est suffisamment complet pour la diligence de l'acheteur et les hypothèses contractuelles.
Le reportage de Reuters àhttps://www.reuters.com/article/us-yahoo-cyber-verizon-idUSKBN1601EKet la couverture publique àhttps://www.nytimes.com/2017/02/21/technology/verizon-yahoo-deal.htmlfournissent une chronologie utile de la façon dont l'accord a changé après les divulgations de violation. Ce ne sont pas des substituts aux accords de transaction ou aux fichiers de diligence privés. Ils montrent la compréhension publique que le dossier de violation avait des conséquences économiques directes.
La question de responsabilité n'est pas de savoir si Verizon a bien ou mal négocié. C'est de savoir si les systèmes internes de sécurité et de divulgation de Yahoo ont produit des preuves précises assez tôt pour une transaction d'entreprise majeure. Si une violation est connue en interne mais pas correctement escaladée ou divulguée, le prix d'acquisition peut refléter un risque incomplet. Si des faits ultérieurs émergent, le coût est alloué par renégociation, indemnité, litige ou action réglementaire.
Cette allocation est un signal public de responsabilité car elle montre que des preuves retardées de violation peuvent changer la valeur d'une entreprise.
Le cas Yahoo appartient donc aux incidents de gouvernance d'entreprise, pas seulement aux incidents de confidentialité. Un système de comptes consommateurs est devenu un système de risque de transaction. Les mêmes faits importaient pour les utilisateurs, les acquéreurs, les investisseurs, les régulateurs et les annonceurs, mais chaque public avait besoin d'un niveau de preuve différent.
L'action réglementaire a transformé le retard en un dossier exécutoire
L'action de la SEC àhttps://www.sec.gov/news/press-release/2018-71est centrale car elle a cadré l'affaire autour de l'incapacité à divulguer en temps utile une violation massive aux investisseurs. L'ordonnance àhttps://www.sec.gov/files/litigation/admin/2018/33-10485.pdfest un dossier public formel, mais elle doit être lue attentivement. Ce n'est pas une affaire pénale complète ni un examen complet de l'architecture de sécurité. C'est un dossier de contrôle de divulgation: ce que Yahoo savait, ce qui n'a pas été divulgué et comment les dépôts publics décrivaient le risque.
Le dossier de la FTC est également pertinent. L'annonce de la FTC àhttps://www.ftc.gov/news-events/news/press-releases/2018/10/ftc-finalizes-settlement-yahoo-alleged-privacy-security-failuresdécrit un règlement concernant des allégations de défaillances de confidentialité et de sécurité. Cette source publique importe car la réparation de la sécurité des comptes est à la fois une question de protection des consommateurs et une question de valeurs mobilières. Les utilisateurs avaient besoin d'un avis en temps utile, de déclarations précises et de mesures significatives de protection des comptes.
Les régulateurs internationaux de la vie privée ont ajouté une autre couche. Le rapport d'enquête conjoint du Commissariat à la protection de la vie privée du Canada àhttps://www.priv.gc.ca/en/opc-actions-and-decisions/investigations/investigations-into-businesses/2019/pipeda-2019-001/a traité des garanties, de la responsabilité et de la réponse aux violations dans un contexte transfrontalier. La page d'application du Commissaire à l'information du Royaume-Uni àhttps://ico.org.uk/action-weve-taken/enforcement/yahoo-uk-services-limited/est pertinente comme partie du dossier public d'application de la vie privée. Ces sources importent car les comptes Yahoo étaient mondiaux, tandis que les obligations de notification et les attentes en matière de vie privée variaient selon les juridictions.
L'action réglementaire n'est pas la même chose que la réparation pour l'utilisateur. Une amende ne réinitialise pas un mot de passe ni ne restaure la confiance. Mais l'application crée un dossier de preuve public que les utilisateurs privés ne peuvent souvent pas obtenir. Elle peut montrer des défaillances dans l'escalade, les garanties, les contrôles de divulgation ou les pratiques de notification. Elle peut aussi forcer des engagements organisationnels.
La question de responsabilité est de savoir si ces engagements ont changé les systèmes qui ont produit le retard: détection, escalade exécutive, examen juridique, contrôles de divulgation, conception de l'authentification et preuves de remédiation utilisateur.
Le dossier Yahoo montre pourquoi les violations multijuridictionnelles nécessitent une gestion claire des preuves. Une plateforme de comptes mondiale ne peut pas traiter la géographie comme une réflexion après coup. Les utilisateurs dans différents pays peuvent avoir des droits légaux différents, mais l'exposition technique peut être le même système de comptes. La souveraineté et la localisation des données importent car le fournisseur doit savoir où se trouvent les utilisateurs, quelles règles s'appliquent et comment fournir un avis en temps utile dans toutes les juridictions.
La continuité du secteur public dépend des fournisseurs de comptes privés
Yahoo n'était pas seulement une entreprise de publicité et de web grand public. Ses comptes faisaient partie de l'infrastructure d'identité quotidienne pour de nombreuses personnes. Une adresse email Yahoo pouvait être utilisée pour recevoir des avis gouvernementaux, des communications scolaires, des rappels de santé, des alertes bancaires, de la correspondance judiciaire, des candidatures à des emplois et des liens de récupération pour d'autres services. C'est pourquoi le sujet de la continuité du secteur public appartient à cet article.
Une boîte aux lettres privée peut devenir une dépendance de service public même si aucune agence gouvernementale ne la contrôle.
Lorsque les données de compte email sont exposées, le préjudice peut se propager à travers les services qui font confiance à la boîte aux lettres. Un utilisateur peut manquer un avertissement parce que le volume de phishing augmente. Un fraudeur peut utiliser d'anciennes données personnelles pour usurper l'utilisateur. Un processus de récupération sur un autre service peut dépendre du compte email. Une agence publique locale peut n'avoir aucun moyen de savoir que l'adresse qu'elle utilise pour un citoyen est liée à une plateforme compromise.
Ce n'est pas la seule responsabilité de Yahoo, mais Yahoo avait le contrôle pratique sur les preuves de sécurité du compte et l'avis utilisateur que d'autres services n'avaient pas.
Le dossier du DOJ àhttps://www.justice.gov/opa/pr/us-charges-russian-fsb-officers-and-their-criminal-conspirators-hacking-yahoo-and-millionsest pertinent ici car il décrit un accès ciblé présumé à des comptes et une conduite liée au renseignement, pas seulement un risque de spam générique. Une violation à grande échelle peut soutenir à la fois une exploitation criminelle large et un ciblage concentré. Les utilisateurs du secteur public, les journalistes, les militants, les employés et les citoyens ordinaires peuvent connaître des niveaux de risque différents, mais le dossier de preuve du fournisseur doit tenir compte à la fois du préjudice de masse et du préjudice ciblé.
La continuité du secteur public change également le standard de récupération. Dire aux utilisateurs de changer leurs mots de passe est nécessaire mais insuffisant lorsque la boîte aux lettres est une dépendance pour d'autres services. Un avis plus fort devrait dire aux utilisateurs de vérifier les paramètres de récupération du compte, d'examiner les règles de transfert, d'inspecter l'activité récente, de réinitialiser les questions de sécurité, de mettre à jour les comptes liés et d'être attentif au phishing ciblé. Il devrait expliquer quels risques sont confirmés et lesquels sont plausibles.
Il ne devrait pas forcer les utilisateurs à déduire tout cela à partir d'un titre.
Le cas Yahoo illustre donc comment l'identité consommateur et la continuité publique se rencontrent. Les fournisseurs de comptes privés n'ont pas d'obligation générale de gérer des services publics, mais une fois que leurs comptes deviennent des canaux d'identité de fait, une divulgation retardée peut créer un préjudice public. Les régulateurs et les conseils d'administration devraient traiter cette dépendance comme faisant partie du modèle de risque.
L'avis utilisateur devrait être mesuré par son caractère actionnable
L'avis utilisateur n'est pas responsable simplement parce qu'il existe. Il doit être opportun, spécifique et suffisamment actionnable pour changer le comportement de l'utilisateur. Dans un cas impliquant des identifiants de compte, des questions de sécurité, des dates de naissance, des numéros de téléphone, des adresses email et des mécanismes de session possibles, un avis devrait séparer les catégories de données et les étapes de réparation.
Il devrait dire si les mots de passe sont réinitialisés, si les questions de sécurité sont invalidées, si les sessions sont révoquées, si l'activité du compte doit être examinée, si les comptes liés doivent être vérifiés et si des mises à jour futures sont attendues.
La couverture de Reuters en septembre 2016 àhttps://www.reuters.com/article/us-yahoo-cyber-idUSKCN11S16Pet la couverture du New York Times àhttps://www.nytimes.com/2016/09/23/technology/yahoo-hackers.htmlmontrent le moment public où les utilisateurs ont été invités à comprendre la violation de 2014. Des reportages ultérieurs àhttps://www.nytimes.com/2017/10/03/technology/yahoo-hack-3-billion-users.htmlont décrit l'expansion de la compréhension de la violation de 2013 à tous les comptes Yahoo. La chronologie importe car le caractère actionnable diminue lorsque l'avis arrive longtemps après l'exposition. Les utilisateurs peuvent encore agir, mais certains risques ont déjà mûri.
Le site de règlement àhttps://www.yahoodatabreachsettlement.com/fait partie du dossier public de réparation. L'administration du règlement ne prouve pas tous les faits techniques, mais elle montre que le préjudice utilisateur et la remédiation sont devenus un processus formel de réclamations. Un processus de réclamations est différent de la réparation du compte. Un utilisateur peut recevoir une compensation ou des services, mais cela ne répond pas à la question de savoir si les mécanismes de récupération, la journalisation, les contrôles de session et les questions de sécurité ont été corrigés assez rapidement. Les deux voies importent.
Un avis actionnable doit aussi préserver l'incertitude. Si l'entreprise ne sait pas si un certain type de données a été accédé pour chaque utilisateur, elle devrait le dire. Si les preuves changent plus tard, elle devrait mettre à jour le dossier. L'expansion ultérieure de la portée des violations par Yahoo démontre pourquoi cela importe. Un avis qui devient plus tard incomplet n'est pas nécessairement malhonnête, mais l'entreprise doit expliquer comment la compréhension a changé et ce que les utilisateurs devraient faire différemment.
La mesure de responsabilité est de savoir si un utilisateur raisonnable pourrait agir sans être un expert en sécurité. Si l'utilisateur doit comprendre les mots de passe hachés, les cookies falsifiés et la réutilisation des questions de récupération seul, l'avis a transféré trop de charge vers l'extérieur.
Les investisseurs avaient besoin de contrôles de divulgation, pas seulement de contrôles de sécurité
Le cas Yahoo est un jalon car la SEC a traité la divulgation cybernétique comme une question de contrôle des valeurs mobilières. Une entreprise peut avoir des contrôles de sécurité et échouer encore si les informations matérielles de sécurité n'atteignent pas les décideurs de la divulgation. Inversement, une équipe de divulgation ne peut pas faire de déclarations publiques précises si les faits de sécurité restent piégés dans des canaux techniques. La frontière de contrôle entre la sécurité, le juridique, les finances et la direction exécutive fait donc partie du dossier de violation.
Le communiqué de presse de la SEC àhttps://www.sec.gov/news/press-release/2018-71a souligné l'importance pour les entreprises publiques de divulguer les risques et incidents cybernétiques matériels. L'ordonnance àhttps://www.sec.gov/files/litigation/admin/2018/33-10485.pdfa décrit des défaillances dans les contrôles et procédures de divulgation de Yahoo. Pour les lecteurs, la leçon clé est que la réponse aux incidents cybernétiques doit inclure un chemin des preuves techniques à l'évaluation de la matérialité. Ce chemin devrait être documenté avant une crise, pas inventé après.
Les contrôles de divulgation devraient répondre à des questions spécifiques. Qui reçoit les rapports d'incidents de sécurité graves? Qui décide si les utilisateurs doivent être notifiés? Qui décide si les investisseurs doivent être informés? Qui décide si une contrepartie de transaction doit recevoir des informations mises à jour? De quelles preuves chaque décideur a-t-il besoin? Comment les inconnues sont-elles enregistrées? Comment les preuves contradictoires ultérieures sont-elles conciliées avec les déclarations antérieures? Si ces questions n'ont pas de propriétaire, le retard devient probable.
Ce n'est pas seulement un problème d'entreprise publique. Les entreprises privées, les organisations à but non lucratif, les agences publiques et les cibles d'acquisition ont tous besoin d'une certaine version de gouvernance de la divulgation. Le public change, mais le problème reste: les faits de sécurité doivent atteindre les personnes responsables des obligations légales, contractuelles, utilisateur et opérationnelles. Une violation techniquement détectée mais institutionnellement non divulguée est toujours un échec de responsabilité.
Le cas Yahoo devrait donc être enseigné comme un cas de chronologie de divulgation. La date de la violation, la date de détection, la date de connaissance exécutive, la date d'avis public, la date de divulgation de la transaction et la date d'action réglementaire importent toutes. Une entreprise qui ne peut pas reconstituer ces dates ne peut pas prouver qu'elle a géré l'incident de manière responsable.
À quoi ressembleraient de meilleures preuves
Une conception de preuve plus solide pour une violation de compte consommateur maintiendrait six registres alignés. Le premier serait un registre de détection: indicateurs d'intrusion, systèmes affectés, dates de première observation, niveaux de confiance et décisions du propriétaire de sécurité. Le deuxième serait un registre d'escalade: quand les équipes de sécurité, juridique, exécutive, conseil d'administration, divulgation et transaction ont appris des faits matériels.
Le troisième serait un registre de risque de compte: catégories de données, statut de hachage des mots de passe, statut des questions de sécurité, problèmes de jetons de session, paramètres de récupération et indicateurs d'activité du compte. Le quatrième serait un registre de remédiation utilisateur: réinitialisations de mots de passe, invalidation de sessions, invalidation de questions de récupération, invites de révision d'activité, conseils pour les comptes liés et charge du support utilisateur.
Le cinquième serait un registre de divulgation: avis publics, dépôts de valeurs mobilières, mises à jour des acquéreurs, avis aux régulateurs et faits encore inconnus. Le sixième serait un registre de vérification: surveillance post-remédiation, vérifications de récurrence, évaluations par des tiers et mises à jour lorsque la portée change.
Yahoo n'avait pas besoin de publier des détails d'exploitation sensibles pour rendre une telle structure utile. Une entreprise peut dire quelles catégories ont été examinées, quelles actions utilisateur étaient requises, quelles sessions ont été invalidées, quels mécanismes de récupération ont changé, quelles dates ont gouverné les décisions de divulgation et quels faits sont restés incertains. Elle peut fournir différents niveaux de détail aux utilisateurs, régulateurs, acquéreurs et investisseurs tout en maintenant une chaîne de preuve cohérente.
Le point important est que la remédiation doit correspondre à l'échelle. Une violation affectant des centaines de millions ou des milliards de comptes ne peut pas être traitée comme un message de support ordinaire. Elle nécessite une réparation du système de comptes, une communication publique, une capacité de service client, des conseils sur le risque de fraude, une gestion des avis par juridiction et des preuves de gouvernance. Le dossier de réparation devrait être suffisamment solide pour que les utilisateurs et les régulateurs n'aient pas à déduire si une réinitialisation de mot de passe était la réponse complète.
Le cas Yahoo reste un avertissement car le retard lui-même est devenu partie du dossier public. Même si la remédiation ultérieure est substantielle, le temps avant l'avis ne peut pas être récupéré. Les utilisateurs ne peuvent pas protéger rétroactivement tous les comptes liés. Les acquéreurs ne peuvent pas négocier rétroactivement avec une information complète. Les investisseurs ne peuvent pas lire rétroactivement les facteurs de risque qui auraient dû être des divulgations d'incidents.
La meilleure réparation est donc un flux de preuves précoce: de la détection à l'escalade, de l'escalade à la décision, et de la décision aux personnes affectées.
La frontière de la preuve importe autant que l'échelle
Les violations de Yahoo sont souvent résumées par le nombre de comptes. Ce raccourci est compréhensible car les chiffres étaient extraordinaires. Il est aussi incomplet. L'échelle indique aux lecteurs que l'événement était important, mais elle ne leur dit pas ce que chaque personne affectée devrait faire, ce que l'entreprise savait à chaque moment, quel contrôle a échoué, ou quelle réparation ultérieure s'est avérée durable.
Un titre de un milliard de comptes peut obscurcir les voies de preuve plus petites mais plus actionnables: hachage des mots de passe, traitement des questions de sécurité, contrôles des cookies falsifiés, examen de l'activité du compte, calendrier de notification et gouvernance de la divulgation.
Un dossier public responsable doit dire ce que chaque source peut prouver. Le dossier de la SEC prouve un cas de contrôle de divulgation et les constatations de l'agence sur ce que Yahoo n'a pas divulgué aux investisseurs. Les documents du DOJ prouvent que les procureurs ont porté des accusations et décrit une conduite présumée par des acteurs nommés. Les annonces de Verizon prouvent des modifications publiques de la transaction et sa clôture. Les dossiers de la FTC et des régulateurs de la vie privée prouvent des positions de protection des consommateurs et d'application de la vie privée.
Les reportages prouvent la chronologie publique et le contexte du marché. Aucune de ces sources ne donne aux lecteurs l'historique complet des tickets de sécurité internes, les procès-verbaux complets du conseil d'administration ou chaque résultat de remédiation utilisateur par utilisateur.
Cette frontière n'est pas une raison pour éviter le jugement. C'est la base d'un jugement équitable. Le dossier public est suffisamment solide pour dire que la divulgation retardée, l'escalade faible et les preuves publiques incomplètes sont devenues une partie du préjudice. Il n'est pas assez solide pour reconstruire chaque session de compte privée ou pour attribuer chaque tentative de fraude ultérieure à Yahoo.
La distinction importe car la responsabilité des violations de comptes peut autrement osciller entre deux erreurs: traiter l'événement comme inconnaissable parce que les journaux privés manquent, ou traiter des fragments publics comme s'ils prouvaient toutes les conséquences en aval.
Le bon standard est la preuve pratique. Yahoo pouvait-il montrer quand il a eu connaissance de faits matériels? Pouvait-il montrer qui avait l'autorité de notifier les utilisateurs? Pouvait-il montrer quels secrets de compte ont été invalidés? Pouvait-il montrer si les utilisateurs ont été obligés de se réauthentifier? Pouvait-il montrer si les questions de sécurité ont été réinitialisées ou retirées? Pouvait-il montrer comment la contrepartie de la transaction a été mise à jour? Pouvait-il montrer quels régulateurs ont reçu quelles informations et quand?
Ces questions ne nécessitent pas la divulgation publique de détails d'exploitation sensibles. Elles nécessitent une chaîne de preuve à laquelle les utilisateurs, régulateurs, acquéreurs et investisseurs peuvent faire confiance.
Le cas reste donc pertinent longtemps après que la marque Yahoo a changé de propriétaire. Les fournisseurs de comptes modernes détiennent encore des adresses de récupération, des numéros de téléphone, d'anciens mots de passe, des questions de sauvegarde, des graphes de contacts et des systèmes de session. Si la frontière de la preuve est vague, le coût de l'incertitude se déplace vers les utilisateurs et les contreparties. Si la frontière est claire, les gens peuvent agir sur des faits confirmés tout en comprenant ce qui reste non résolu.
La leçon de la chronologie de divulgation s'applique également aux preuves du support client. Lorsqu'un fournisseur annonce une violation massive de comptes, l'organisation de support devient partie du système de contrôle. Elle reçoit les questions qui révèlent si les conseils publics sont utilisables: les utilisateurs demandent s'ils doivent changer les comptes liés, si les anciennes questions de récupération importent encore, si les journaux d'activité du compte sont fiables, si une réinitialisation de mot de passe est obligatoire et si l'avis s'applique à eux.
Un dossier de violation mature devrait capturer ces signaux de support et les réinjecter dans la remédiation. Si les utilisateurs comprennent mal l'avis, l'avis n'est pas complet. Si le support ne peut pas répondre à la différence entre compromission confirmée et action préventive, l'organisation n'a pas traduit les preuves techniques en preuves pour l'utilisateur. Cette boucle de rétroaction est particulièrement importante à l'échelle de Yahoo car même une petite ambiguïté devient des millions de décisions d'utilisateurs.
Dossier de preuve pour le lecteur
L'article utilise les sources publiques suivantes comme dossier de lecture pour les violations de comptes Yahoo de 2013 et 2014, la divulgation retardée, la remédiation de la sécurité des comptes, l'ajustement du prix d'acquisition, le dossier d'application et la responsabilité de l'identité consommateur.
Chaque source est traitée avec des limites: les documents de la SEC et des régulateurs fournissent des dossiers d'application officiels, les documents du DOJ fournissent des allégations de poursuites pénales, les pages de l'entreprise et de l'acquéreur fournissent des preuves de transaction, les sources d'information fournissent une chronologie publique et les sources de normes fournissent un vocabulaire de contrôle.
- Source publique utilisée pour le dossier de preuve:https://www.sec.gov/files/litigation/admin/2018/33-10485.pdf
- Source publique utilisée pour le dossier de preuve:https://www.sec.gov/news/press-release/2018-71
- Source publique utilisée pour le dossier de preuve:https://www.sec.gov/edgar/browse/?CIK=1011006
- Source publique utilisée pour le dossier de preuve:https://www.justice.gov/opa/pr/us-charges-russian-fsb-officers-and-their-criminal-conspirators-hacking-yahoo-and-millions
- Source publique utilisée pour le dossier de preuve:https://www.verizon.com/about/news/verizon-and-yahoo-amend-terms-definitive-agreement
- Source publique utilisée pour le dossier de preuve:https://www.verizon.com/about/news/verizon-completes-acquisition-yahoos-operating-business
- Source publique utilisée pour le dossier de preuve:https://www.ftc.gov/news-events/news/press-releases/2018/10/ftc-finalizes-settlement-yahoo-alleged-privacy-security-failures
- Source publique utilisée pour le dossier de preuve:https://www.priv.gc.ca/en/opc-actions-and-decisions/investigations/investigations-into-businesses/2019/pipeda-2019-001/
- Source publique utilisée pour le dossier de preuve:https://ico.org.uk/action-weve-taken/enforcement/yahoo-uk-services-limited/
- Source publique utilisée pour le dossier de preuve:https://www.yahoodatabreachsettlement.com/
- Source publique utilisée pour le dossier de preuve:https://www.wired.com/2016/09/yahoo-breach-500-million-accounts/
- Source publique utilisée pour le dossier de preuve:https://krebsonsecurity.com/2016/09/yahoo-says-500-million-accounts-stolen/
- Source publique utilisée pour le dossier de preuve:https://www.reuters.com/article/us-yahoo-cyber-idUSKCN11S16P
- Source publique utilisée pour le dossier de preuve:https://www.reuters.com/article/us-yahoo-cyber-verizon-idUSKBN1601EK
- Source publique utilisée pour le dossier de preuve:https://www.nytimes.com/2016/09/23/technology/yahoo-hackers.html
- Source publique utilisée pour le dossier de preuve:https://www.nytimes.com/2017/10/03/technology/yahoo-hack-3-billion-users.html
- Source publique utilisée pour le dossier de preuve:https://www.nist.gov/cyberframework
- Source publique utilisée pour le dossier de preuve:https://www.cisecurity.org/controls
- Source publique utilisée pour le dossier de preuve:https://pages.nist.gov/800-63-3/
- Source publique utilisée pour le dossier de preuve:https://csrc.nist.gov/pubs/sp/800/63/b/upd2/final
- Source publique utilisée pour le dossier de preuve:https://attack.mitre.org/techniques/T1550/004/
Ce dossier de preuve est délibérément plus large qu'un simple avis de violation car le dossier de violation de compte de Yahoo implique une compromission technique, un risque d'identité utilisateur, un avis retardé, l'économie de la transaction, la divulgation de valeurs mobilières, l'application de la vie privée et la remédiation à long terme des comptes. Le dossier public doit soutenir les personnes qui ont besoin d'action pratique, les gestionnaires qui ont besoin d'un plan de réparation, les acquéreurs qui ont besoin de preuves de transaction et les lecteurs qui ont besoin de savoir quelles affirmations restent incertaines.
Questions pour l'examen du conseil d'administration
Un examen du conseil d'administration devrait demander si les preuves de violation de compte passent des équipes de sécurité aux décideurs de la divulgation assez rapidement. L'examen devrait identifier les dates auxquelles les équipes de sécurité, juridique, exécutive, conseil d'administration, divulgation aux investisseurs et transaction ont appris des faits matériels.
L'examen devrait demander si la remédiation du compte correspond aux catégories de données exposées. Les réinitialisations de mots de passe, l'invalidation des questions de sécurité, la révocation des sessions, l'examen des paramètres de récupération, les conseils pour les comptes liés et la surveillance des activités suspectes devraient être séparés plutôt que compressés dans une déclaration générique de sécurité du compte.
L'examen devrait demander si les obligations de notification mondiales sont cartographiées avant un incident. Un fournisseur de comptes mondial devrait savoir quels utilisateurs, juridictions, régulateurs et contreparties de transaction ont besoin d'informations lorsque les données de compte sont exposées, et il devrait préserver les preuves expliquant le calendrier de chaque avis.
Pour ce cas spécifique, le conseil d'administration devrait répondre directement à la question manifeste: Qui avait le contrôle pratique sur la détection des violations, l'escalade exécutive, la protection des mots de passe et des questions de sécurité, le calendrier de notification des utilisateurs, la divulgation lors de l'acquisition, les preuves réglementaires et la preuve que la remédiation correspondait à l'ampleur de l'exposition des comptes?
La réponse devrait inclure des preuves datées, des propriétaires nommés, les publics affectés, les frontières juridictionnelles et les faits qui sont restés non prouvés lorsque le dossier public a été constitué.

