Yahoo! un milliard de comptes piratés
jeu, 15/12/2016 - 11:32
Record battu, mais il est des records dont on se passerait bien. En l'occurrence la société Yahoo! qui accumule les problèmes en ce moment, ce serait certainement bien passée d'annoncer le piratage d'un milliards de comptes utilisateurs.
Après l'accusation d'espionner les mails des utilisateurs au printemps dernier, après le piratage de 500 millions de comptes utilisateur en septembre dernier, et après la découverte d'une faille XSS permettant très simplement de lire tous les mails de n'importe qui, ca fait beaucoup pour cette seule année 2016.
Yahoo! n'a même pas la consolation de dire que l'affaire de septembre était finalement plus grave qu'annoncée. Au contraire Yahoo! bat sa coulpe en indiquant que ce piratage d'un milliard de compte remonte à août 2013 et qu'il est différent de celui révélé en septembre.
Un tiers non autorisé (Yahoo! dixit, comme s'il se pouvait qu'un tiers puisse être autorisé à voler ;-) a donc volé les données personnelles d'un milliard de comptes, données qui sont des noms, des adresses mails, des numéros de téléphone, des dates de naissance, des questions de sécurité et leurs réponses, cryptées ou non et des mot de passe cryptés en MD5. On ne peut s'empêcher de remarquer que MD5 n'est plus considéré comme sûr depuis 1996, soit 17 ans avant ce piratage. Malgré cela Yahoo! se veut rassurante en indiquant qu'aucun mot de passe en clair, aucune information relative à des cartes bancaires ou des comptes bancaires n'a été volée. Yahoo! précise que les données de cartes et de comptes bancaires résident sur un système qui n'a pas été affecté par ce piratage. Il est tentant d'ajouter : à sa connaissance...
Car quand un piratage se produit chez Yahoo!, il faut un certain temps pour que la société s'en aperçoive.
De plus le communiqué de Yahoo! indique que la société pense qu'un tiers (non autorisé de nouveau :-) a pu accéder à une partie de son code propriétaire, code contenant les informations nécessaires pour forger des cookies, autant dire les informations pour se connecter à n'importe quel compte utilisateur sans mot de passe. Dans ces conditions, assurer qu'aucune donnée bancaire n'a été volée est peut-être un peu optimiste. Il est vrai que Yahoo! le dit à propos du piratage d'août 2013. Elle ne le dit pas à propos d'autres éventuels piratages.
Yahoo! recommande fortement à ses utilisateurs de changer mots de passe et questions/réponses de sécurité sur tous les sites où ils seraient identiques à ceux de leurs comptes Yahoo!.
Un conseil à suivre sans tarder, bien évidemment.