La sécurisation du code d’un site web, d’une application ou d’un jeu est importante. Il arrive que les erreurs soient humaines (comme pour le célèbre jeu League Of Legends dont le code source a été mis en vente récemment), mais aussi que des portes dérobées (backdoors) soient créées dans le code des sites et applications et permettent de récupérer des fichiers critiques ou des données.
Qu’est-ce que Yandex ?
Yandex est une société fondée en 1997 à Moscou. Ce que Google est aux Etats-Unis, Yandex l’est à la Russie. Autrement dit, c’est un moteur de recherche Russe, mais pas uniquement. Comme son plus grand concurrent, Yandex propose la création d’adresses mail, des jeux, de la traduction en direct, de l’hébergement vidéo (YouTube pour Google) ou encore un navigateur de recherche (comme Google Chrome).
Le piratage de Yandex par des pirates russes
Yandex dément le fait qu’ils se soient fait pirater. L’entreprise Russe parle plutôt de vole du code par un ancien employé. Cependant, le résultat est bel est bien le même, le code source de multiples applications de Yandex se trouvent en accès libre sur la toile. Voici ce qui a été volé et publié :
- Le moteur de recherche et les robots d’indexation,
- Yandex map,
- Leur assistant d’Intelligence Artificielle Alice,
- Yandex Taxi,
- Le service d’annonce Yandex Direct,
- Yandex mail,
- Yandex cloud,
- Yandex market,
- Yandex voyage,
- Yandex 360 (service de travail),
- Yandex pay,
- Yandex Metrika (analyse),
- Des clés API.
Dans une déclaration à Bleeping Computer, Yandex a précisé :
« Notre service de sécurité a trouvé des fragments de code d’un référentiel interne dans le domaine public, mais le contenu diffère de la version actuelle du référentiel utilisé dans les services Yandex. »
En effet, le code source des applications divulguées date de Juillet 2022.
De plus, ils précisent que seul le code source semble avoir été dérobé et que cela n’impacte pas les données des utilisateurs. Une enquête est en cours pour déterminer la cause du leak.
Un contenu livré aux mains de pirates
Comme nous l’avons dit plus haut, le code ne contient pas de données. Hors pour exploiter complètement le code source, il faudrait au moins les données des réseaux neuronaux de l’entreprise (apprentissage automatique). Le code source en libre accès sur un forum connu des pirates est donc quasiment inutile.
Quasiment, car le fait d’avoir accès aux différents codes sources des applications permet de pouvoir trouver des failles de sécurité, et ça les pirates le savent, mais savent aussi l’exploiter !
Les données de Yandex
Aujourd’hui, aucune donnée n’est sortie, cependant, de nombreux pirates pouvant se placer sur ce code, pourraient à terme, réussir à mettre la main sur ces dernières.
Un code même si non à jour, surtout de la taille de ceux de Yandex, ne change pas chaque jour, il peut y avoir plus de 80% de similarité entre les anciens codes et les nouveaux. L’exploitation de failles de sécurité n’est donc qu’une question de temps.
L’histoire est donc à suivre de près, surtout pour les utilisateurs du Google Russe.