La mode est aux failles expansives, qui provoquent en général plus de dégâts internes après l’impact. Yahoo, dans un effort surhumain, est parvenu à transformer la « fuite d’informations la plus importante de l’histoire d’Internet » de 2013 (un milliard de comptes dans la nature) en quelque chose d’encore plus inimaginable, avec un bilan (provisoire ?) s’élevant à 3 milliards d’enregistrements « fuités ». Au-delà d’une certaine taille, un trou dont on ne distingue plus les limites est-il encore un trou ? La reprise de Yahoo par Verizon pèse chaque jour un peu plus dans le bilan sinon comptable, du moins moral de l’entreprise.
Deloitte, pour sa part joue la politique des petits pas … Après avoir assuré ses clients que « seuls quelques comptes email, 5 ou 6 tout au plus, auraient fait l’objet d’un vol de données », nos confrères du Guardian assurent que le sinistre touche au bas mot 350 comptes… pour l’instant. Et qu’aux nombres de ceux-ci, seraient concernés 4 ministères des Etats Unis (DHS, Défense, Energie, Affaires Etrangères), l’ONU et quelques grandes multinationales, dont USPS et Fannie Mae, le géant US des prêts hypothécaires.
Peut-on imaginer qu’un intrus parvenu, avec des droits « administrateur », jusqu’au système de messagerie d’une entreprise aussi tentaculaire que Deloitte n’ait point cherché à ratisser plus large ? Pour l’heure, point de communiqué en provenance de l’entreprise afin de rassurer la multitude de clients arguant, par exemple, d’un cloisonnement des différents comptes de messagerie…
Point de nouvelles également de la part des branches « InfoSec » de Deloitte, pourtant qualifiées de ténors du milieu, à même de rasséréner les clients au travers d’avis peut-être plus techniques sur les fuites.
Equifax aussi fait des efforts, puisque des quelques 400 000 identités Britanniques soutirées que révélaient le Register, on frise désormais les 700 000 constate Brian Krebs. Les détails des données volées forment une véritable panoplie pour spécialistes du phishing ciblé et le vol d’identité direct (tantôt l’adresse email, tantôt leur numéro de permis de conduire, tantôt leur numéro de téléphone, et parfois même un éventail de données regroupant le nom d’utilisateur, le mot de passe, la question secrète de confirmation d’identité, la réponse à ladite question secrète et des données partielles de la carte de crédit).
