Hier, 14 décembre, Yahoo a révélé le vol de plus d’un milliard d’identifiants de comptes utilisateurs. Pourtant, en septembre dernier, le portail avait déjà annoncé le vol de 500 millions d’identifiants. 01net.com fait le point sur cette affaire qui prend des tournures de plus en plus surprenantes.
S’agit-il de deux piratages différents?
D’après le communiqué de Yahoo, ce nouveau milliard d’identifiants a été volé « en août 2013 », alors que le demi-milliard précédent a été subtilisé « fin 2014 ». Le portail estime que ces deux incidents sont « probablement différents ». Pour autant, cela ne veut pas dire que les attaquants soient différents. A ce jour, ces derniers ne sont pas connus. Concernant le hack de fin 2014, le communiqué de Yahoo avait émis l’hypothèse d’un « acteur d’origine gouvernementale ».
Combien de données ont été volées au final ?
Yahoo ne le précise pas. En tous les cas, on ne peut pas simplement additionner les deux chiffres pour arriver à 1,5 milliard de comptes volés. Chez Yahoo, les données utilisateurs sont stockées dans une base unique qui couvre tous les produits. A priori, les deux attaquants ont donc eu accès aux mêmes données. Il est donc possible qu’il y ait un recoupement entre les deux lots. Fin 2013, Yahoo revendiquait 800 millions d’utilisateurs actifs. En ajoutant les utilisateurs inactifs, le nombre total de comptes dans cette base unique se situait à cette époque « entre 1 et 3 milliards », selon un ancien dirigeant de Yahoo, interrogé par Business Insider.
Quelles données utilisateurs ont été piratées ?
Dans les deux cas, les pirates ont mis la main sur des noms, des adresses email, des numéros de téléphone, des dates de naissance, des mots de passe chiffrés et des questions-réponses de sécurité dont certains étaient en stockés en clair. Aucune information bancaire ne figure parmi les données volées.
Quel est le risque pour les utilisateurs?
Il est plutôt élevé. Les mots de passe volés en août 2013 n’étaient que faiblement chiffrés (algorithme MD5). Un pirate peut donc facilement récupérer les mots de passe en clair et accéder aux comptes utilisateurs. En revanche, les mots de passe dérobés fin 2014 étaient « majoritairement chiffrés en bcrypt », un algorithme de bonne qualité, pas facile à casser. Malheureusement, dans les deux lots se trouvaient aussi des questions-réponses de sécurité stockées en clair dans la base et qui permettent aussi d’accéder aux comptes.
C’est quoi cette histoire de création frauduleuse de cookies ?
Le mystérieux « acteur d’origine gouvernementale », qui a siphonné 500 millions d’identifiants fin 2014 aurait également volé une partie du code source sur les serveurs de Yahoo. Et pas n’importe lequel : celui qui gère la création des cookies d’authentification. Ainsi, ces pirates ont pu créer leurs propres cookies, ce qui leur permettait d’accéder aux comptes des utilisateurs sans même savoir le mot de passe. Depuis, ces faux cookies ont été invalidés. Les utilisateurs impactés ont été alertés de façon spécifique.
En tant qu’utilisateur, que faut-il faire ?
Dans l’immédiat, la meilleure chose à faire est de changer son mot de passe en choisissant, de préférence, une suite aléatoire de chiffres, de lettres et de caractères spéciaux. Si vous utilisiez le même mot de passe sur d’autres services, il est également urgent de tous les changer. Yahoo recommande, par ailleurs, l’activation de l’authentification à deux étapes (code reçu par SMS par exemple) ou de la clé de compte. Cette dernière fonctionnalité permet de loguer sans rentrer de mot de passe, en utilisant l’application mobile de Yahoo. A moyen terme, il faudrait songer à fermer son compte Yahoo. Compte tenu des incidents qui viennent de se produire, le niveau de sécurité de l’infrastructure informatique de cette entreprise n’est clairement pas à la hauteur.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.