Avec trois milliards de compte piratés, Yahoo! a été victime du plus grand piratage informatique de l’histoire. © Minerva Studio, Shutterstock

Tech

Yahoo! reconnaît que 3 milliards de comptes ont été piratés en 2013

ActualitéClassé sous :Sécurité , Yahoo , piratage informatique

Suite à une nouvelle enquête menée par des experts indépendants, Yahoo! a reconnu que ce ne sont pas un milliard mais trois milliards de comptes utilisateurs qui ont été piratés lors de la cyberattaque menée en 2013. On ignore toujours qui en est à l'origine.

  • La totalité des comptes Yahoo! ont été compromis lors de la cyberattaque perpétrée en 2013.
  • Verizon, qui a racheté Yahoo!, assure qu’aucune donnée personnelle n’était stockée en clair.
  • L’ensemble des utilisateurs sont invités à changer leur mot de passe sans délai.

En décembre dernier, Yahoo! révélait avoir été victime courant août 2013 d'un piratage massif au cours duquel un milliard de comptes utilisateurs avaient été compromis. Il s'agissait alors de la plus importante cyberattaque jamais menée contre une entreprise. Mais on apprend aujourd'hui que ce sont en fait l'intégralité des comptes Yahoo!, soit trois milliards, qui ont été affectés.

L'information vient d'être divulguée par l'opérateur de téléphonie Verizon qui a racheté Yahoo! pour 4,4 milliards de dollars. Dans son communiqué de presse, Verizon explique avoir diligenté une nouvelle enquête suite à sa prise de contrôle du portail Web qui a donc révélé que le piratage est trois fois plus important qu'annoncé l'année dernière. Rappelons au passage que Yahoo ! avait été victime d'un premier piratage de masse fin 2014 durant lequel 500 millions de comptes avaient été dérobés.

Verizon assure qu'il ne s'agit pas d'un nouveau problème de sécurité et que tous les usagers qui n'avaient pas été préalablement informés ont désormais été prévenus. L'opérateur affirme que les informations personnelles dérobées (noms, adresses, dates de naissance, numéros de téléphone...) ne contenaient aucun mot de passe ni données bancaires en clair, c'est-à-dire non chiffrées. Cependant, Yahoo! avait auparavant expliqué que les pirates ont eu accès au code source du site afin de créer des cookies falsifiés leur permettant d'accéder à un compte utilisateur sans avoir besoin de son mot de passe.

Cette capture d’écran du compte Yahoo! de l’auteur montre le message reçu dans la foulée de l’annonce par Verizon sur l’ampleur du piratage. © Marc Zaffagni, Futura

Qui est derrière ce piratage massif ?

Titulaire d'un compte mail Yahoo!, nous avons effectivement pu constater qu'une procédure de changement de mot de passe nous était proposée au moment de la connexion. Cela s'accompagnait d'un courriel nous informant d'une « tentative de connexion inattendue » à notre compte qui se serait produite comme par hasard dans la nuit du 4 octobre, dans la foulée de l'annonce de Verizon... À aucun moment il n'est fait mention du piratage et du risque potentiel encouru.

Ces nouvelles révélations ne sont pas tout à fait une surprise. En effet, un article de Business Insider daté du 30 septembre 2016 citait le témoignage d'un ancien responsable de Yahoo! au fait des pratiques de l'entreprise en matière de sécurité qui estimait déjà que le nombre de compte piratés pourrait atteindre les trois milliards. Pour expliquer la surface de l'attaque, il révélait que les différents services Yahoo! (Mail, Finance, Sports...) utilisaient en fait la même base de données pour authentifier les utilisateurs. Or, c'est cette base de données qui a été piratée. Une hypothèse qui n'a jamais été confirmée officiellement.

La principale question, à laquelle aucune réponse claire n'a pour le moment été apportée, est celle de l'origine de ce piratage historique. En mars dernier, quatre suspects, dont trois basés en Russie, étaient inculpés par le département américain de la Justice pour le piratage de Yahoo! de 2014. Deux agents du FSB russe étaient mis en cause, accusés d'avoir recruté des cybercriminels pour infiltrer le site américain. Mais aucune autre information n'a filtré depuis et rien à propos du piratage de 2013. Le flou sur la plus grande cyberattaque de l'histoire demeure toujours.

Pour en savoir plus

Yahoo! : un nouveau piratage de masse touche plus d'un milliard de comptes

Article de Marc Zaffagni, paru le 15/12/2016

Yahoo! vient de révéler avoir été victime d'une seconde attaque informatique encore plus importante que la première. Cette fois, ce sont plus d'un milliard de comptes qui ont été dérobés. Cela s'est passé en août 2013...

En septembre dernier, Yahoo! battait bien malgré lui un record en révélant avoir été victime du plus important piratage informatique de l'histoire. Neuf mois auparavant, fin 2014, plus de 500 millions de comptes utilisateurs avaient été dérobés. On apprend aujourd'hui qu'il y a pire. Dans un communiqué diffusé dans la nuit, Yahoo! vient en effet de reconnaître qu'un deuxième piratage encore plus massif avait eu lieu en août 2013, il y a donc plus de trois ans !

Cette fois, ce sont plus d'un milliard de comptes qui ont été compromis et avec eux les données personnelles des usagers : nom, prénom, adresse email, numéros de téléphone, date de naissance, mots de passe hachés. Comme lors du piratage de 2014, des questions-réponses qui servent à récupérer un mot de passe perdu ou oublié ont été dérobées sous forme chiffrée et non chiffrée. Ce qui veut dire qu'une personne malintentionnée peut potentiellement utiliser ces informations pour récupérer le mot de passe associé à compte.

Des cookies Yahoo! falsifiés

Yahoo! précise en outre que les pirates ont eu accès au code source du site afin de créer des cookies falsifiés qui leur permettent d'accéder au compte d'un personne sans avoir besoin de son mot de passe. Quant à savoir qui est derrière cette attaque, le communiqué évoque simplement un « tiers non autorisé ». Pour le premier piratage, l'entreprise nord-américaine s'était montrée plus spécifique en parlant d'une attaque menée pour le compte d'un État.

Mais le plus inquiétant dans ces deux affaires de piratage est le silence de Yahoo! durant de longs mois. Soit l'entreprise est restée muette pour ne pas compromettre ses chances de trouver un acquéreur, soit son service en charge de la sécurité de l'infrastructure a fait preuve d'une incroyable négligence. En septembre dernier, un ancien employé de Yahoo! qui s'était confié à Business Insider avait estimé que le nombre de comptes piratés pouvait se situer entre un et trois milliards. Cette nouvelle affaire tombe au plus mal pour le géant du Web qui est actuellement en train de finaliser son rachat par l'opérateur Verizon pour 4,8 milliards de dollars.

Que faire si l’on possède un compte Yahoo!

Face à l'ampleur de ce piratage, tous les titulaires d'un compte Yahoo!, piraté ou non, ont intérêt à prendre sans délai plusieurs mesures pour se protéger.

  • Changer dès à présent de mot de passe ainsi que la question de sécurité associée ;
  • Activer l'authentification en deux étapes qui réclame en plus du mot de passe un code secret à usage unique envoyé par SMS ;
  • Si le mot de passe Yahoo! sert pour s'identifier à d'autres services, le changer sans attendre et créer un mot de passe unique pour chaque service ;
  • Comme l'indique Yahoo!, il faut également se méfier de faux courriels évoquant le piratage et qui contiennent des liens à cliquer ou des fichiers joints. Pour aider les internautes, Yahoo! a diffusé une copie du message officiel diffusé dans chaque pays.

Comptes Yahoo! piratés : 500 millions de personnes concernées

Article de Marc Zaffagni publié le 23/09/2016

Neuf mois après avoir subi un piratage informatique, Yahoo! se décide enfin à confirmer l'information. Le portail Internet vient de reconnaître que 500 millions de comptes utilisateurs et avec eux des données personnelles sensibles ont été dérobés. C'est tout simplement le plus important piratage de données de l'histoire.

Le portail Internet nord-américain Yahoo! a confirmé hier dans la soirée qu'il avait bien été victime d'une intrusion sur son réseau fin 2014 au cours de laquelle « au moins » 500 millions de comptes d'utilisateurs ont été subtilisés. Concrètement, des données personnelles comprenant des noms, adresses électroniques, numéros de téléphone, dates de naissance, mots de passe hachés font partie du butin du ou des pirates qui ont accompli cette intrusion.

Yahoo! précise que dans « certains cas », des questions-réponses qui servent à récupérer un mot de passe perdu ou oublié ont été dérobées sous forme chiffrée et, ce qui plus inquiétant, non chiffrée. Ce qui veut dire qu'une personne malintentionnée peut potentiellement utiliser ces informations pour récupérer le mot de passe associé à un compte.

L'information sur le piratage de Yahoo! avait été révélée dès le mois d'août par le site Motherboard qui à l'époque évoquait 200 millions de comptes compromis. Hier, c'est le site Recode qui a relancé l'affaire en annonçant que Yahoo! s'apprêtait à confirmer cette brèche de sécurité colossale. Dans son communiqué, l'entreprise évoque une attaque menée pour le compte d'un État qui n'est pas nommé. Mais certains médias citent la Chine et la Russie qui ont été plusieurs fois mis en cause dans le piratage de grandes entreprises nord-américaines.

Yahoo! hérite bien malgré lui du record du plus important piratage de données de l'histoire détenu jusqu'à présent par MySpace avec 427 millions de comptes exposés. Les conséquences du vol de ces données sont encore mal connues, mais elles pourraient être très importantes. Car Yahoo! est toujours l'un des portails Internet les plus visités au monde et sa messagerie électronique, qui avait déjà été piratée, est très populaire.

Même s’il n’est plus le géant de l’Internet qu’il était dans les années 1990, le portail Yahoo! et sa messagerie sont toujours très populaires. © Yahoo!

Yahoo! n’a rien dit durant neuf mois

Par ailleurs, comme c'est bien souvent le cas, les mots de passe de messagerie sont réutilisés pour différents comptes, ce qui veut dire que les pirates peuvent potentiellement accéder à d'autres services. Les risques sont d'autant plus élevés que Yahoo! reconnaît lui-même que le piratage a eu lieu fin 2014. Voilà donc neuf mois que les données personnelles de plusieurs centaines de millions de personnes sont entre les mains de cyberpirates et l'on se demande bien pourquoi Yahoo! s'est tu pendant si longtemps.

Peut-être pour ne pas compromettre ses chances de trouver un acquéreur, alors qu'en début d'année les actionnaires ont poussé à la mise en vente de l'entreprise qui ne parvenait pas à retrouver sa gloire passée ? Après des mois de pourparlers avec divers candidats, Yahoo! s'est finalement entendu en juillet dernier avec l'opérateur de téléphonie américain Verizon qui a offert 4,8 milliards de dollars. Mais la transaction n'est pas encore finalisée et Verizon pourrait bien profiter de la situation pour revoir son offre à la baisse...