Yahoo confirme le piratage de plus d'un demi-milliard de comptes
La société attribue l'attaque à un groupe parrainé par un État

Le , par yoyo3d, Membre confirmé
Au cours des derniers mois, les réseaux sociaux et d’autres opérateurs du web ont été alertés, alors qu’un hacker surnommé Peace s’est mis à vendre des bases de données d’utilisateurs sur le dark web. LinkedIn, MySpace, VK.com ou encore Yahoo étaient concernés. Plus de 800 millions de comptes de différents sites et services étaient sur le marché, dont 200 millions pour Yahoo uniquement.

Le piratage des comptes Yahoo datait de 2012 au moment de l’arrivée de Marissa Payer à la tête de la société de services internet. Cette même année, un groupe de hackers dénommé D33ds avait déclaré avoir réussi à pirater Yahoo, mais la société avait minimisé l’ampleur de l’attaque en évoquant seulement 400 000 comptes concernés.

Vendue pour 3 bitcoins (1800 $), la base de données piratée contenait entre autres, les noms d’utilisateurs, les dates de naissance, des mots de passe chiffrés, et parfois des adresses e-mail de récupération de compte, les pays d’origine et des codes postaux pour les utilisateurs américains.


Après avoir mené des investigations sur un éventuel piratage de son réseau, Yahoo vient de livrer ses conclusions. Au-delà de notre expectative, Yahoo reconnait un piratage d’une plus grande ampleur : le fournisseur de messagerie reconnait avoir été victime, en 2014, d’un piratage touchant plus de 500 millions de comptes. Mais dans un communiqué, la société de services internet soupçonne également que l’attaque ait été menée par des acteurs sponsorisés par un État : « Une enquête récente de Yahoo a confirmé qu'une copie de certaines informations de compte d'utilisateur a été volée dans le réseau de l'entreprise à la fin de 2014, par un acteur que nous croyons être parrainé par un État. Les informations de compte peuvent inclure des noms, des adresses e-mail, numéros de téléphone, dates de naissance, mots de passe hachés (la grande majorité avec bcrypt) et, dans certains cas, les questions et réponses de sécurité chiffrées ou non. »

D’après l'enquête en cours, les informations volées ne contiendraient pas les données de cartes de crédit ou autres informations de compte bancaire. Yahoo assure également que ces données ne sont pas stockées sur le système qui a été affecté. En ce qui concerne l’éventuel acteur parrainé par un État, la société ne donne aucune précision, mais sur la base de l’enquête, elle affirme que ce dernier ne serait pas actuellement dans le réseau de Yahoo.

Alors que Yahoo travaille avec la police sur cette question, le fournisseur de messagerie dit avoir notifié les personnes potentiellement affectées pour leur demander de changer rapidement leur mot de passe. Les questions et réponses de sécurité non chiffrées ont également été invalidées de sorte qu’elles ne puissent plus être utilisées pour accéder aux comptes. Entre autres mesures, tous les utilisateurs qui n’ont pas changé leur mot de passe depuis 2014 sont encouragés à le faire.

À l’ensemble des utilisateurs de Yahoo, la société demande de respecter des mesures de sécurité comme :

  • changer les mots de passe, questions et réponses de sécurité pour tous les autres comptes pour lesquels vous avez utilisé des informations identiques ou similaires à celles utilisées pour votre compte Yahoo ;
  • se méfier des communications non sollicitées dans lesquelles l'on vous demande des renseignements personnels ou vous réfère à une page web demandant des informations personnelles ;
  • éviter de cliquer sur des liens ou de télécharger les pièces jointes d'e-mails suspects ;
  • etc.


Source : Yahoo !

Et vous ?

Pensez vous que le portail américain doit craindre une fin proche (inquiétude des utilisateurs / désintérêt des actionnaires de Verizon) ?

Voir aussi :

Un pirate expose les données de plus de 200 millions d'utilisateurs de Yahoo sur le web obscur et les met en vente pour 3 bitcoins


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Shepard Shepard - Membre confirmé https://www.developpez.com
le 23/09/2016 à 16:25
- Parrainé par un état
- Vendu 1800€

Je sais pas vous mais moi ça me surprend
Avatar de yoyo3d yoyo3d - Membre confirmé https://www.developpez.com
le 23/09/2016 à 16:53
Moi, ce qui m'interpelle, c'est le ratio entre les données rattachées à 200 millions de comptes (même cryptées / chiffrées) et le montant rachitique de la transaction....
Avatar de marsupial marsupial - Membre éprouvé https://www.developpez.com
le 23/09/2016 à 22:07
Vous voyez un Etat monter une attaque pour voler 500 millions d identifiants Yahoo ? Pas moi.
Avatar de Sunchaser Sunchaser - Membre émérite https://www.developpez.com
le 23/09/2016 à 23:57
Ma grande surprise, cela n'a pas été l'annonce d'un gros piratage, mais que Yahoo existait encore !
Avatar de NSKis NSKis - Membre émérite https://www.developpez.com
le 24/09/2016 à 9:43
Citation Envoyé par marsupial Voir le message
Vous voyez un Etat monter une attaque pour voler 500 millions d identifiants Yahoo ? Pas moi.
Lorsque l'on se fait pirater, il vaut mieux affirmer que l'on a été la victime d'un Etat plutôt que d'un simple étudiant boutonneux... On a l'air moins con
Avatar de Stéphane le calme Stéphane le calme - Chroniqueur Actualités https://www.developpez.com
le 24/09/2016 à 18:54
Piratage de Yahoo : un utilisateur poursuit l'entreprise pour « négligence »,
le rachat de Yahoo par Verizon pourrait en pâtir

Après avoir mené son enquête, Yahoo a reconnu avoir été la victime d’un piratage qui date de 2014 et concerne plus de 500 millions de comptes. Dans un communiqué, l’entreprise a évoqué une attaque par une entité sponsorisée par un État : « une enquête récente de Yahoo a confirmé qu'une copie de certaines informations de compte d'utilisateur a été volée dans le réseau de l'entreprise à la fin de 2014, par un acteur que nous croyons être parrainé par un État. Les informations de compte peuvent inclure des noms, des adresses e-mail, numéros de téléphone, dates de naissance, mots de passe hachés (la grande majorité avec bcrypt) et, dans certains cas, les questions et réponses de sécurité chiffrées ou non ».

Yahoo a fait son annonce jeudi 22 septembre. Mais le vendredi 23 septembre, le groupe a été poursuivi pour « négligence grave » par Ronald Schwartz, un résident de New York qui vise le statut de recours collectif qui va représenter tous les utilisateurs américains de Yahoo! affectés par le vol de leurs informations personnelles. Il entend réclamer des dommages et intérêts. Ses avocats ont déposé la plainte à San Jose (Californie), dans le même État que la maison mère de l’entreprise. À ses côtés, Schwartz à deux spécialistes des recours collectifs : les cabinets Robbins Geller Rudman & Dowd et Labaton Sucharow

La plainte suggère que Yahoo aurait pu éviter le piratage s’il avait renforcé ses mesures de sécurité étant donné qu’il avait déjà été la cible de pirates par le passé et n’a donc pas tenu à sa promesse de prendre « très au sérieux » la vie privée de ses utilisateurs : Yahoo a démontré de la « négligence à l'égard de la sécurité des informations personnelles de ses utilisateurs qu'il a promis de protéger ».

Schwartz reproche également à Yahoo d’avoir attendu près de deux mois pour faire un communiqué concernant la faille, ce qui est illégal dans 47 États aux Etats-Unis, qui requièrent que les entreprises qui ont été victimes d’un piratage le fassent savoir à leurs clients même si le délai varie d’un État à l’autre : certains demandent d’en informer les clients sur une période allant de 30 à 45 jours tandis que d’autres utilisent des termes plus généraux « aussitôt que ce sera utile » ou « sans délai déraisonnable ». Dans ces États, la période de notification peut être plus courte comme le montre un cas récent en Californie où l’avocat Aaron Tantleff, travaillant pour le compte de Foley and Lardner, a estimé que même deux semaines représentent un délai trop long.

Alors combien de temps a attendu Yahoo avant d’en informer ses utilisateurs ? Mais surtout pourquoi l’entreprise n’en a pas informé rapidement ses utilisateurs ? Une source proche de l’entreprise, qui a souhaité gardé l’anonymat, a affirmé ceci à propos du délai : « suite à un rapport plus tôt cet été (juillet 2016) d'un hacker qui a indiqué que 280 millions comptes utilisateurs sont en vente sur le marché noir, nous avons lancé une enquête interne et n’avons trouvé aucun éléments de preuve pour étayer les allégations du pirate. Après avoir terminé cette enquête, notre équipe de sécurité interne a continué de procéder à un examen plus large et plus profond de nos systèmes. Chemin faisant, elle a identifié des preuves du vol par un acteur parrainé par l'État qui a eu lieu en 2014 ». Cependant, même si cette affirmation s’avérait vérifiée, elle ne signifie pas nécessairement que Yahoo a respecté la loi.

Actuellement, Yahoo et Verizon ont négocié le rachat de l’ancienne gloire d’internet à hauteur de 4,8 milliards de dollars, rachat qui concerne l’acquisition du cœur de métier sur internet de Yahoo mais aussi plusieurs propriétés immobilières. Selon le spécialiste Dan Primack, cette poursuite pourrait bien affecter ce projet. La plus grosse menace à ce rachat se trouve dans un accord signé par les deux parties le 23 juillet 2016 qui avance que : « à la connaissance du vendeur, il n'y a pas eu d'incidents ou de réclamations de tiers alléguant, (i) atteintes à la sécurité : l'accès non autorisé ou utilisation non autorisée d’un des systèmes de technologie de l’information de l’une des filiales du vendeur ou (ii) la perte, le vol , l'accès non autorisé ou l'acquisition, la modification, la divulgation, la corruption ou toute autre utilisation abusive des données personnelles en possession du vendeur ou de l’une de ses filiales, ou d'autres données confidentielles détenues par le vendeur ou ses filiales (ou fournies au vendeur ou ses filiales par leur clients) en possession du vendeur ou de ses filiales, chaque cas (i) et (ii) pourrait raisonnablement avoir un effet défavorable important sur les affaires ».

Source : Fortune (recours collectif contre Yahoo), Fortune (analyse d'un paragraphe d'un accord signé entre Yahoo et Verizon)

Voir aussi :

Verizon va bientôt racheter Yahoo! pour 4,8 milliards de dollars, l'entreprise va bénéficier du cœur d'activité dans les services en ligne de Yahoo!
Avatar de marsupial marsupial - Membre éprouvé https://www.developpez.com
le 24/09/2016 à 20:28
Nul n est a l abri d un piratage, mais la plus grave des negligences restera de laisser 2 ans entre le piratage et l information des utilisateurs avec les premieres mesures basiques. Et laisser 3 mois de latence entre l annonce, l investigation qui officiellement ne trouve rien et subitement elle trouve quelque chose lorsque les donnees se retrouvent sur le net. Entre temps, Les pirates ont du bien profiter. Faire porter le chapeau a un hypothetique Etat dont ce n est vraiment pas le domaine de predilection, prouve le niveau de securite.
Je comprends de ce fait la plainte deposee.
Avatar de Aurelien Plazzotta Aurelien Plazzotta - Membre éclairé https://www.developpez.com
le 25/09/2016 à 17:04
Tout comme Twitter, le rachat de Yahoo ne va nullement en partir. C'est juste une opération de destabilisation afin de casser les prix avant une offre publique d'achat.
Avatar de fenkys fenkys - Membre éprouvé https://www.developpez.com
le 26/09/2016 à 8:22
Bonjour,

Je suis d'accord, la plainte est d'autant plus justifiée que beaucoup de monde utilise le même mot de passe pour plusieurs comptes. En ne disant rien ce sont tous ces autres comptes qui ont été mis en danger. Et peut être qu'un procès avec des dédommagements lourds pourrait à l'avenir inciter les entreprises à faire plus attention.
Avatar de Aizen64 Aizen64 - Membre averti https://www.developpez.com
le 27/09/2016 à 18:05
Je suis également d'accord sur le fait que Yahoo aurait du en informer ses utilisateurs immédiatement, pas 2 ans après.

Cette partie mise à part, pour les mots de passe, j'imagine que Yahoo les a hachés et qu'ils restent donc inexploitables même s'ils sont divulgués.
Avatar de Michael Guilloux Michael Guilloux - Chroniqueur Actualités https://www.developpez.com
le 29/09/2016 à 18:12
Yahoo : la sécurité ne semble pas être une priorité pour la PDG Marissa Mayer
indiquent des employés de l’entreprise

Yahoo a récemment annoncé avoir été victime du piratage de plus d’un demi-milliard de comptes en 2014. Il s’agit de la plus grande intrusion rendue publique qu’a jamais connue une entreprise de services sur internet. Après l’annonce de cette grosse violation de sécurité, un utilisateur a porté plainte contre Yahoo pour négligence. Mais s’agit-il vraiment d’une négligence de la part de Yahoo ? En tout cas, c’est ce que suggère une demi-douzaine d’anciens employés, mais également des employés actuellement en service chez Yahoo, dans un rapport de Reuters.

Le rapport met en évidence le laxisme de Marissa Mayer vis-à-vis de la sécurité. Il semble en effet que la sécurité était bien loin d’être une priorité pour celle qui est pourtant la PDG d’une entreprise qui détient une énorme base de données personnelles sur au moins un milliard d’utilisateurs, en plus, dans un contexte animé par les débats sur la vie privée et la sécurité.

« Les paranoïaques », c’est ainsi que sont appelés, au sein de l’entreprise, les membres de l’équipe de sécurité de Yahoo, dont les exigences et initiatives n’ont pas été considérées par Marissa Mayer et son équipe de direction. D’après Reuters, les paranoïaques étaient « souvent en conflit avec d'autres entités de l'entreprise par rapport aux coûts de la sécurité. Et leurs demandes étaient souvent rejetées en raison des préoccupations selon lesquelles une protection supplémentaire pourrait amener les gens à cesser d'utiliser les produits de la société. »

Si à son arrivée à la tête de Yahoo, Marissa Mayer a hérité de nombreux problèmes de sécurité, elle a préféré mettre l’accent sur le développement de nouveaux produits plutôt que d’investir dans la sécurité, d’après des employés de la société qui ont décidé de témoigner dans l’anonymat. Marissa a pris la direction de Yahoo deux ans après une vaste attaque lancée par des pirates militaires chinois. Des entreprises comme Google ont également été victimes, mais le géant de Mountain View a répliqué en recrutant des centaines d’ingénieurs en sécurité et en investissant des centaines de millions dans la sécurité qui est devenue une priorité absolue pour la société. Yahoo, de son côté, n’a jamais admis publiquement avoir été piraté, encore moins pris des mesures, à l’instar de Google, pour protéger ses utilisateurs.

En 2013, Edward Snowden a encore révélé que le service de messagerie de Yahoo était une cible fréquente des espions parrainés par les États. Mais ce n’est qu’un an plus tard que l’entreprise a réagi en recrutant Alex Stamos – un personnage très respecté dans le milieu de la sécurité – pour occuper le poste de directeur de la sécurité de l’information. Ce recrutement a été salué par la communauté et Stamos n’aurait pas manqué de jouer son rôle. L’expert en sécurité aurait inspiré une équipe de jeunes ingénieurs qui a commencé à développer des codes sûrs et à améliorer la défense de l’entreprise. Il aurait également mis en place des « red teams », composées d’employés de Yahoo dont la mission était de pénétrer les systèmes de l’entreprise et de reporter leurs découvertes. Malheureusement, l’aventure de l’expert en sécurité chez Yahoo n’a été que de courte durée, un an et quatre mois environ, avant qu’il ne rejoigne Facebook en tant que directeur de la sécurité. D’après les personnes interrogées par le New York Times, le départ d’Alex Stamos était dû à des mésententes avec Marissa Mayer.

« Quand est venu le moment de sortir des dollars pour améliorer l'infrastructure de sécurité de Yahoo, Mme Mayer et M. Stamos se sont affrontés à plusieurs reprises », rapporte Reuters. « Elle a refusé des ressources financières à l'équipe de sécurité de Yahoo ». D’après les employés qui ont témoigné, « les paranoïaques ont été régulièrement débauchés par des concurrents comme Apple, Facebook et Google. »

Sous Mme Mayer, la PDG de Yahoo « a également rejeté la mesure de sécurité la plus basique de toutes : une réinitialisation automatique de tous les mots de passe utilisateur, une mesure que les experts en sécurité considèrent comme standard après une violation ». Les employés disent que la mesure a été rejetée par l'équipe de Mme Mayer « de peur que quelque chose d'aussi simple qu'un changement de mot de passe puisse conduire les utilisateurs de la messagerie de Yahoo vers d'autres services », rapporte Reuters.

Il faut également noter que Stamos et son équipe avaient proposé d’adopter le chiffrement de bout en bout pour Yahoo. Mais Jeff Bonforte, senior VP de Yahoo, responsable des produits de communications (Yahoo! Mail, Yahoo! Messenger, etc.) s’est opposé à l’initiative, estimant que cela aurait nui à la capacité de Yahoo d'indexer et de faire des recherches dans les messages des utilisateurs pour leur fournir de nouveaux services.

Source : Reuters

Et vous ?

Qu’en pensez-vous ?
Avatar de TiranusKBX TiranusKBX - Expert confirmé https://www.developpez.com
le 29/09/2016 à 20:52
En gros ils on tout fait pour faciliter la vie des pirates estimant que les utilisateurs pouvaient crever la bouche ouverte et ils espèrent gagner des clients avec ce genre de comportement ?
Avatar de micka132 micka132 - Membre émérite https://www.developpez.com
le 29/09/2016 à 21:06
Citation Envoyé par Michael Guilloux Voir le message
Qu’en pensez-vous ?
Je pense que la plupart des gros acteurs américains en ont rien à faire de la securité. Ce sont des entreprises tellement énormes que ça leurs coûterait des sommes folles d’être parfaitement sécurisé.
C'est a peu prés comme si une banque avait un coffre fort de la taille de Paris...Bah forcement tu blindes pas partout.
Ce qu'il faut voir c'est que ce n'est pas seulement des problèmes de failles techniques, mais surtout des problèmes structurelles, de l'employé mécontent en passant par les sous traitances en cascades ou des serveurs isolés pour des développements ponctuels dont tout le monde a oublié l'existence...
Avatar de Vulcania Vulcania - Membre habitué https://www.developpez.com
le 29/09/2016 à 21:50
C'est même pas un problème d’incompétence, d'une erreur humaine, mais une volonté de ne pas investir en sécurité. Le décisionnel devrait avoir leur responsabilité pénale engagé, peut être qu'ils reverront certaines décisions histoire que leur propre merde ne leur retombe pas dessus.
Avatar de TallyHo TallyHo - Membre averti https://www.developpez.com
le 29/09/2016 à 22:10
Citation Envoyé par TiranusKBX Voir le message
En gros ils on tout fait pour faciliter la vie des pirates estimant que les utilisateurs pouvaient crever la bouche ouverte et ils espèrent gagner des clients avec ce genre de comportement ?
Tu crois que Mme Michu se tient informée de l'actualité informatique ? De plus, l'expérience montre que les gens s'en caguent complètement, même en étant informés, tant qu'ils ne sont pas touchés directement. Sinon ça ferait longtemps qu'on aurait plus de mot de passe à la con du type 12345, que les gens ne se feraient plus avoir avec leur CB, que les admins ne mettraient plus les passwords dans un fichier texte, etc...
Avatar de marsupial marsupial - Membre éprouvé https://www.developpez.com
le 30/09/2016 à 2:14
Citation Envoyé par TallyHo Voir le message
Tu crois que Mme Michu se tient informée de l'actualité informatique ? De plus, l'expérience montre que les gens s'en caguent complètement, même en étant informés, tant qu'ils ne sont pas touchés directement. Sinon ça ferait longtemps qu'on aurait plus de mot de passe à la con du type 12345, que les gens ne se feraient plus avoir avec leur CB, que les admins ne mettraient plus les passwords dans un fichier texte, etc...
Dans le cas de Yahoo, la publicite faite autour de l affaire, ne va pas leur permettre de facilement retrouver une image saine avant un moment. Donc d accord avec la 2e partie mais qui devrait au contraire faire redoubler de vigilance de la part de Yahoo et des acteurs du numerique en general.
Avatar de 23JFK 23JFK - Membre éclairé https://www.developpez.com
le 30/09/2016 à 9:07
C'est une vraie blonde, en fait.
Avatar de Stéphane le calme Stéphane le calme - Chroniqueur Actualités https://www.developpez.com
le 30/09/2016 à 12:08
Yahoo victime d'une organisation parrainée par un État ? Pas forcément selon InfoArmor,
qui met ce piratage sur le dos de pirates traitant avec des spammeurs la plupart du temps

Yahoo a estimé que le piratage de ses comptes qui date de 2012 et qui a permis de récolter des informations sur plus de 200 millions de ses comptes utilisateurs était le fruit d’une organisation parrainée par un État. Cependant, selon le spécialiste en sécurité InfoArmor, il est possible que ça ne soit pas le cas ; il s’agissait là de l’oeuvre de mercenaires. « Selon nos informations, la plupart des clients de ce groupe sont des spammeurs », a déclaré Andrew Komarov, responsable des renseignements chez InfoArmor, tout en indiquant que le groupe a déjà eu à faire, au moins à une reprise à une entité parrainée par un État.

Pour son argumentation, InfoArmor s’est appuyé sur un échantillon des informations volées qu’il a obtenu de « sources opératoires » dans le cadre de son enquête sur le « Group E », un groupe de pirates originaire de l’Europe de l’Est et constitué de cinq membres. InfoArmor suit les activités du Group E depuis plus de trois ans.

Si la base de données obtenue par InfoArmor ne contenait « que » quelques millions de comptes, Komarov assure qu’il y avait des identifiants utilisateurs, des mots de passe hashés, des numéros de téléphones mobiles ainsi que des zip codes. Le spécialiste a eu le temps de vérifier que les informations étaient bel et bien réelles. Selon lui, le Group E a vendu les données Yahoo dans trois transactions privées. Komarov a indiqué que la base des données Yahoo a été vendue pour au moins 300 000 dollars dans l’une d’elle.

InfoArmor a également avancé que Group E est derrière le piratage de LinkedIn, Dropbox et Tumblr. Dans ces cas là, pour vendre les informations, le groupe est passé par d’autres hackers comme Tessa88 et peace_of_mind qui ont proposé ces affaires sur le marché noir. « Ce groupe est vraiment unique », a indiqué Komarov. « Ils sont responsables du plus gros piratage de l’histoire en termes d’utilisateurs affectés ».

La communauté des chercheurs en sécurité quant à elle est plutôt divisée face à ces informations. Alex Holden, responsable de la sécurité des systèmes d’information chez Hold Security, a déclaré que les allégations de InfoArmor sont pour la plupart en accord avec ce qu'il a trouvé dans ses propres enquêtes. Cependant, il a ajouté « qu’en ce moment, nous ne pouvons pas être totalement sûrs de l’identité des personnes responsables du piratage de 2014 et aussi s’il y a eu un seul piratage ».

Vitali Kremez, un analyste en cybercrime chez FlashPoint, est un peu plus sceptique sur les découvertes de InfoArmor. « Ils ont peut-être trop vite sauté sur les conclusions ici », a-t-il déclaré. Il s’est interrogé sur les divergences entre la base de données obtenue par InfoArmor et celle que Yahoo a déclaré avoir été volée. Par exemple, Yahoo a indiqué que les mots de passe étaient hachés avec l’algorithme de sécurité bcrypt et que des questions de sécurité étaient associées aux comptes concernés dans cette affaire. Pourtant, Kremez note que dans les données récupérées par InfoArmor, les mots de passe sont hashés avec l'algorithme MD5 et qu'on ne mentionne nulle part des questions de sécurité. « Yahoo a déclaré que les mots de passe volés utilisaient bcrypt. Pourquoi pourraient-ils mentir à ce sujet ? », s’est demandé Kremez. Et de continuer en disant « qu’il est possible qu’InfoArmor dispose d'un ensemble de données différent ».

Quoiqu’il en soit, Komarov a déclaré qu’InfoArmor est disposé à travailler avec les forces de l’ordre, Yahoo ainsi que d’autres parties indépendantes pour examiner les données. Dans son rapport, le cabinet a donné un échantillon. InfoArmor indique que le vol de la base de données de Yahoo peut être la clé de plusieurs attaques ciblées lancées contre le personnel du gouvernement américain.

Source : InfoArmor
Avatar de vanskjære vanskjære - Membre actif https://www.developpez.com
le 30/09/2016 à 14:42
Citation Envoyé par Stéphane le calme Voir le message
Kremez note que dans les données récupérées par InfoArmor, les mots de passe sont hashés avec l'algorithme MD5 ne mentionne nul part des questions de sécurité. « Yahoo a déclaré que les mots de passe volés utilisés bcrypt. Pourquoi pourraient-ils mentir à ce sujet ? », s’est demandé Kremez.
En même temps dire qu'en 2012 les mots de passes était stocké en hash MD5 alors que ça fait 8 ans que c'est un algo qui n'est plus considéré comme sûr....
Avatar de TiranusKBX TiranusKBX - Expert confirmé https://www.developpez.com
le 01/10/2016 à 8:26
moi ça fai déjà un moment que j'utilise du sha384 ou un algo random(ceux d'une taille importante) dans les algo proposés par PHP
Avatar de RyzenOC RyzenOC - Membre émérite https://www.developpez.com
le 02/10/2016 à 16:25
moi ça fai déjà un moment que j'utilise du sha384 ou un algo random(ceux d'une taille importante) dans les algo proposés par PHP
les mots de passe sont hashés avec l'algorithme MD5 ne mentionne nul part des questions de sécurité.
pour remplacer md5, php 5.5/5.6/7 propose nativement déjà une fonction password_hash()

Mais bon je serais pas étonné déjà que Yahoo soit encore sous php4...
Avatar de MarieKisSlaJoue MarieKisSlaJoue - Membre émérite https://www.developpez.com
le 02/10/2016 à 18:20
Citation Envoyé par micka132 Voir le message
Je pense que la plupart des gros acteurs américains en ont rien à faire de la securité. Ce sont des entreprises tellement énormes que ça leurs coûterait des sommes folles d’être parfaitement sécurisé.
C'est a peu prés comme si une banque avait un coffre fort de la taille de Paris...Bah forcement tu blindes pas partout.
Ce qu'il faut voir c'est que ce n'est pas seulement des problèmes de failles techniques, mais surtout des problèmes structurelles, de l'employé mécontent en passant par les sous traitances en cascades ou des serveurs isolés pour des développements ponctuels dont tout le monde a oublié l'existence...
C'est totalement faux. La plus part des gros acteurs ne peuvent survivre que parce que on leur fait confiance. Tu pense qu'une entreprise irai sur Azure si elle n'avait pas confiance. Au contraire c'est eux qui sont le plus avancé en matière de bonne pratique et de sécurité. D'ailleurs la plus part partage leur bonne pratique en livre blanc.

C'est plutôt les groupes qui on un autre coeur de metier que l'IT dont il faut se mefier
Avatar de Michael Guilloux Michael Guilloux - Chroniqueur Actualités https://www.developpez.com
le 04/10/2016 à 0:26
Piratage de Yahoo : plus d’un milliard d’utilisateurs pourraient être affectés
d’après un ancien responsable de la société

Suite à une enquête visant à détecter une éventuelle attaque de ses systèmes, Yahoo a récemment déclaré que plus de 500 millions de ses comptes ont été piratés en 2014, par un soi-disant groupe parrainé par un État. Il s’agit de la plus grande intrusion rendue publique qu’a jamais connue une entreprise de services sur internet.

Si l’hypothèse de Yahoo sur les auteurs de l’attaque est sérieusement mise en doute, on peut également s’interroger sur le nombre de comptes utilisateurs réellement affectés par cette grosse violation. D’après un ancien responsable de la société, familier avec les pratiques de sécurité du fournisseur de services sur internet, Yahoo aurait tout simplement essayé de minimiser l’ampleur de la brèche. La société a en effet déclaré qu’au moins 500 millions de comptes ont été piratés, ce qui est vrai, puisque « au moins 500 millions » veut dire que le nombre de comptes réellement affectés dépasse cette valeur. Mais pour cet ancien de la société, jusqu’à un milliard d’utilisateurs actifs pendant la période du piratage auraient été affectés.

Il explique en effet que l'architecture des systèmes back-end de la société est organisée de manière à ce que le type de violation qui a été rapporté ait pu exposer un nombre beaucoup plus important de comptes d'utilisateurs. Les identifiants des utilisateurs pour se connecter aux produits de Yahoo tels que Yahoo Mail, Finance et Sports étaient en effet stockés dans une base de données principale. Et cette base de données qui sert de principal référentiel pour les informations d’identification des utilisateurs de Yahoo serait encore utilisée par la société d’après les profils LinkedIn de certains employés encore en fonction chez Yahoo et une décision du tribunal en 2015.

Les identifiants étant centralisés dans cette base, il est donc très probable qu’un piratage porte sur l’ensemble des données et non une partie. Il faut également noter qu’au moment du piratage de 2014, la base de données comptait entre 700 millions et un milliard d'utilisateurs actifs accédant aux produits de Yahoo chaque mois, mais également de nombreux autres comptes inactifs qui n'ont pas été supprimés. En considérant les comptes inactifs, l’ancien responsable de Yahoo – qui prétend être régulièrement en contact avec les employés actuels de la société, y compris ceux qui enquêtent sur la brèche – estime que le nombre de comptes piratés pourrait se situer entre un et trois milliards.

Source : Business Insider
Avatar de nchal nchal - Membre expérimenté https://www.developpez.com
le 04/10/2016 à 9:20
1 et 3 milliards ? Si c'est vrai c'est un joli score. Egalement, c'est "couillu" de la part de Yahoo! de jouer autant avec leur image de marque car si les gens se rendent compte que Yahoo leur a menti à ce point
Avatar de TiranusKBX TiranusKBX - Expert confirmé https://www.developpez.com
le 04/10/2016 à 9:49
Yahoo élue plus belle passoire de 2014
Avatar de RyzenOC RyzenOC - Membre émérite https://www.developpez.com
le 04/10/2016 à 10:17
Non mais yahoo c'est 1 milliards de comptes inactifs depuis 10ans et 500 millions de boite mails poubelles.
Avatar de marsupial marsupial - Membre éprouvé https://www.developpez.com
le 04/10/2016 à 12:43
Citation Envoyé par nchal Voir le message
1 et 3 milliards ? Si c'est vrai c'est un joli score. Egalement, c'est "couillu" de la part de Yahoo! de jouer autant avec leur image de marque car si les gens se rendent compte que Yahoo leur a menti à ce point
Une class action est engagée. Bien qu'elle porte sur la réactivité, cela veut dire enquête et investigations. Donc tous finirons par savoir le fin mot de l'histoire car rien n'est plus mal vu et puni aux Etats-Unis que le parjure. Sur 1 à 3 milliards de compte, on trouvera certainement des peoples pour publiquement dénoncer le scandale.

Et pire, la première attaque daterait de 2012. Yahoo! ne l'a soit pas détectée, ou n'a rien dit. Et, surtout, apparemment rien fait.
Avatar de NSKis NSKis - Membre émérite https://www.developpez.com
le 04/10/2016 à 12:44
Citation Envoyé par TiranusKBX Voir le message
Yahoo élue plus belle passoire de 2014
Est-ce bien utile de "cracher" sur Yahoo quand tous les autres se sont également fait voler les profils de leur clients???

Quelques exemples pour les gens ayant des problèmes de mémoires:

- Dropbox: 68 millions d'identifiants volés en 2012
- Ashley Madison: 32 millions de comptes clients volés en 2015
- Linkedin: 100 millions d'identifiants clients volés en mai 2016
- MySpace: plusieurs centaines de millions d'identifiants annoncés comme volés en 2016
- Twitter: 32 millions de comptes volés en juin 2016

La seule conclusion à ces annonces est que quelque soit la grosseur de l'entreprise, aucune n'est en mesure de protéger les données qui sont en ligne. Certains feraient bien de s'en souvenir avant d'étaler leur vie privée sur le web...
Avatar de jvedie jvedie - Candidat au Club https://www.developpez.com
le 06/10/2016 à 10:58
Sur ce thème de la vie privée, de la surveillance de masse par les états, la perte de contrôle de notre "vie numérique", je vous conseille le livre de Tristan Nitot "Surveillance" qui vient tout juste de sortir : https://www.amazon.fr/Surveillance-l...dp/2915825653/

Il ne faut évidemment ne pas non plus tomber dans la paranoia et crier au complot, il ne s'agit pas du tout de cela.
Ce livre est vraiment très intéressant, il s'adresse à tout le monde
Avatar de Bigb Bigb - Membre habitué https://www.developpez.com
le 06/10/2016 à 11:01
Ca fait vraiment froid dans le dos quand meme ces annonces !
J'ai toujours été frileux pour stocker mes données pro et perso sur le cloud, maintenant c'est hors de question !
Avatar de _Alain_ _Alain_ - Nouveau membre du Club https://www.developpez.com
le 06/10/2016 à 15:31
Yahoo!... Cette société apparemment incapable de se centrer sur, et développer, son activité prinicipale,
ni d'assurer la sécurité des données de ses clients, et qui passe son temps à développer en secret un
logiciel pour scanner les emails entrants de ses clients pour le compte des services d'"intelligence"
américains:

Exclusive: Yahoo secretly scanned customer emails for U.S. intelligence - sources.

N'est-il pas "quelque peu" bizarre que la PDG de Yahoo!, Marissa Mayer, anciennement vice-présidente chez Google, soit en train de couler un concurrent de Google?

Comme c'est bizarre:


Quoi qu'il en soit, les détenteurs de compte Yahoo! peuvent télécharger/récupérer
en masse leurs photos sur Flickr (dont le propriétaire est Yahoo!), avant de clôturer leur compte Yahoo!:

You Can Now Bulk Download from Flickr Your Photos Really Do Belong to You
Avatar de athlon64 athlon64 - Membre averti https://www.developpez.com
le 06/10/2016 à 20:47
Citation Envoyé par NSKis Voir le message
...

La seule conclusion à ces annonces est que quelque soit la grosseur de l'entreprise, aucune n'est en mesure de protéger les données qui sont en ligne. Certains feraient bien de s'en souvenir avant d'étaler leur vie privée sur le web...
Ce qui m’inquiète c'est le vol des données d’États... imaginez les impôts, les bases de données de la santé maladie ou pire la base de données du ministère de la surveillance

Ben oui avec toutes ces lois dues à la loi sur la surveillance, les institutions récoltent un max de données sur les habitants d'un pays. Si on suit cette logique ça va arriver...
Avatar de Namica Namica - Membre confirmé https://www.developpez.com
le 07/10/2016 à 2:33
Citation Envoyé par athlon64 Voir le message
Ce qui m’inquiète c'est le vol des données d’États... imaginez les impôts, les bases de données de la santé maladie ou pire la base de données du ministère de la surveillance

Ben oui avec toutes ces lois dues à la loi sur la surveillance, les institutions récoltent un max de données sur les habitants d'un pays. Si on suit cette logique ça va arriver...
Pas tout à fait d'accord avec toi.
Il y a bien quelques lois ou tentatives de lois liberticides pour augmenter la surveillance, cependant dans les pays de l'union européenne, jusqu'à présent, ce sont les lois sur la protection des données à caractères privé qui prévalent et chaque pays de l'union doit avoir un organisme comme la CNIL pour y veiller.
Le problème ici relève plus :
  • des développements et implémentations ne respectant pas les bonnes pratiques,
  • du manque de budget relatif à la sécurité ($ à court terme avant tout),
  • du manque de communication/réactivité/correction, voire des problèmes de dissimulation/mensonge...

A noter que les nouvelles dispositions de l'union européenne prévoient l'obligation d'information dans de tels cas.
Le problème de l'agrégation des données à caractère personnel venant de plusieurs sources (filiales ou pas de l'entreprise qui consolide les données) et de l'usage qui en est fait est aussi lié à la nationalité de l'entreprise et de ses sièges d'activité.
Si l'entreprise n'a pas de siège dans le territoire de l'union européenne et que vous lui confiez vos données, les lois de l'union ne vous protègent pas. Et bonjour pour faire valoir un droit quelconque.

Il est aussi à remarquer que beaucoup de CNIL européennes ont entrepris des actions ces derniers temps contre quelques grands groupes (Facebook entre autres).
Et que, vu la méfiance croissante des européens à l'égard du stockage de données hors union européenne (États-Unis principalement), ainsi que l'échec du "Safe Harbor" dont la nouvelle mouture n'est pas entièrement satisfaisante, on constate un mouvement des grands acteurs (Amazon, Cloud Azur, etc.) pour délocaliser leur data-centers vers nos pays de l'union.
Toutefois, je ne pense pas que ce mouvement réglera le problème de la consolidation des données à caractère personnel et de l'usage qui en est fait. Les CNIL auront encore du boulot, même s'il sera peut-être facilité du fait du non transfert vers des pays hors union européenne (à moins que ces data-centers européens ne soient de la poudre aux yeux). Car, en effet, les marketeux continuerons à croiser nos données pour essayer de nous profiler et de vendre nos profils à des annonceurs qui vont nous fourguer des pub pour un rasoir électrique, pub dont on a plus besoin vu qu'on l'a déjà acheté le mois dernier ce p.. de rasoir de m...
Avatar de athlon64 athlon64 - Membre averti https://www.developpez.com
le 07/10/2016 à 15:30
Citation Envoyé par Namica Voir le message
Le problème ici relève plus :
des développements et implémentations ne respectant pas les bonnes pratiques,
du manque de budget relatif à la sécurité ($ à court terme avant tout),
du manque de communication/réactivité/correction, voire des problèmes de dissimulation/mensonge...
Bonjour, merci pour ton apport intéressant, je suis globalement d'accord avec ce que tu as écrit je ne vois même pas d'affirmation à contester.

Cependant il y a des détails importants dont tu n'as pas parlés et comme on le dit le diable se cache dans les détails. je vais séparer en 2 parties.
-En premier
  • On parle quand même de Yahoo, pas d'une PME... On trouve des vulnérabilités partout, il faut les corriger à temps c'est tout, pour s'en rendre compte
    il suffit de taper dans un moteur de recherche "faille"+ youtube ou facebook etc. Donc respecter les bonnes pratiques oui, mais si les technos utilisées ont elles mêmes des failles alors bonjour les dégâts.
    Sur les failles OpenSSL(Heartbleed), on peut pas dire que tous les dev qui ont utilisé OpenSSL n'ont pas respecté les bonnes pratiques...

  • Le manque de budget, oui, justement le stockage et la sécurisation de toutes ces Datas sur la surveillance et autres domaines doit pas être donné, quand on sait qu'on a déjà du mal à assumer le budget pour sécuriser correctement toutes les centrales nucléaires
  • Pour terminer l'Etat sous traite forcement chez du privée et la faille peut venir de là, Edouard Snowden était sous traitant de la NSA...


-Secundo

Tu parles de la CNIL et de l'UE, mais sans parler du rapport de force entre l'UE et les USA, entre la CNIL et les multinationales.
Je ne vais pas ici faire de la géopolitique pour développer la soumission de l'UE aux USA, mais juste deux anecdotes
-L'UE s'est lui même fait espionner par la NSA mais a aussi été placé sur écoute
- F**K l'UE répond une diplomate américaine(Victoria Nuland) quand on lui demande ce que va penser l' UE sur l'Ukraine si les Etats unis procédait d'une certaine façon.

Pour la CNIL pareil, leur budget est disponible sur cette page on peut voir les budgets de 2000 à 2016, on peut particulièrement regarder celui du fonctionnement et pas de la paye du personnel. Ensuite il y a le cash investigation sur le commerce des données à regarder, à la minute 35 la présidente de la CNIL est questionnée... Je ne pense pas que avec 5 millions et 11 000€, elle a de quoi faire plier Google, Facebook, Amazon, Apple, Microsoft, la NSA, etc.

D'ailleurs pour le moment, y'en a qui se servent copieusement de toutes ces données comme on peut le voir avec ces nombreuses gardes à vue des fonctionnaires du renseignement.
Juste pour infos on a été déjà piraté, on nous a pas dit les infos volées, il suffit de les classer secret défense non ?

Donc stocker ces infos sensibles c'est toujours dangereux. Si les pirates particuliers ne le volent pas, c'est sûr que des Etats ont les moyens de le faire.
Avatar de AstOz AstOz - Membre actif https://www.developpez.com
le 31/10/2016 à 12:20
Je suis pas pour le "vivons bien, vivons caché", perso, j'ai un compte sur Twitter, j'avais un compte Facebook (fermé pour d'autres raisons).
Chez moi, mon PC est en libre accès à tous ceux qui le souhaite, seules mes informations sensibles sont protégées.

Je me moque un peu qu'un état ou un groupe de hackers apprennent que ce week-end je l'ai passé à faire des bidouillages sur mon PC et à jouer à Skyrim ...
Tout comme je ne me cloitrerai pas chez moi parce que j'ai un vis à vis important, je m'en fous que mes voisins me voient chanter en faisant le ménage...

Je peux comprendre qu'on ne le souhaite pas mais il faut pas le reprocher à ceux qui sont conscients de faire fuiter des informations.

Par contre, c'est très gênant que Yahoo! bloque les utilisateurs à fuir vers d'autres concurrents, notamment pour les utilisateurs lambda.
Ma famille par exemple avait quelques données sensibles sur Yahoo!, ils ont changés leurs mots de passe par sécurité mais ils devraient pouvoir changer de fournisseur mail facilement sans perdre leurs données.
Avatar de Michael Guilloux Michael Guilloux - Chroniqueur Actualités https://www.developpez.com
le 10/11/2016 à 20:44
Piratage de Yahoo : les enquêteurs explorent la possibilité qu’un employé ait été au courant
au moment de la violation de sécurité en 2014

En fin juillet 2016, un hacker a revendiqué être en possession de plus de 200 millions de données de comptes d’utilisateurs de Yahoo. Vendue pour 3 bitcoins (1800 $) sur le darkweb, la base de données de Yahoo piratée contenait entre autres, les noms d’utilisateurs, les dates de naissance, des mots de passe chiffrés, et parfois des adresses e-mail de récupération de compte, les pays d’origine et des codes postaux pour les utilisateurs américains.

Après avoir mené des investigations sur un éventuel piratage de son réseau, Yahoo a livré ses conclusions en septembre, et contre toute attente, la firme a reconnu un piratage d’une plus grande ampleur. Le fournisseur de messagerie a déclaré avoir été victime, en 2014, d’un piratage touchant plus de 500 millions de comptes. Mais dans son communiqué, la société de services internet a aussi affirmé que l’attaque aurait été menée par des acteurs parrainés par un État.

Dans un rapport sur son activité au troisième trimestre 2016, déposé le 9 novembre à la Securities and Exchange Commission des États-Unis, Yahoo a décidé de donner de plus amples informations sur les investigations en cours. Le fournisseur de services sur internet explique dans son rapport que les enquêteurs explorent la piste selon laquelle un employé aurait pu avoir été au courant au moment du piratage en 2014. Un comité indépendant d’experts « mène des investigations, entre autres, sur la possibilité, qu'au sein de la société, quelqu'un ait eu connaissance [du piratage] en 2014 », indique Yahoo. Ce qui suggère donc que cette personne aurait observé l’accès des pirates, la mesure dans laquelle les informations de compte de certains utilisateurs avaient été consultées, les mesures de sécurité de l'entreprise et les incidents et problèmes connexes.

« En plus, les experts techniques sont en train d'enquêter sur certaines preuves et activités qui indiquent qu'un intrus, considéré comme étant le même acteur commandité par l'État responsable de l'incident de sécurité, a créé des cookies qui auraient pu permettre de contourner le besoin d'un mot de passe pour accéder aux comptes ou informations de comptes de certains utilisateurs », a ajouté la société.

La firme indique également que le 7 novembre 2016, les autorités chargées de l'application de la loi ont commencé à partager, avec elle, certaines données fournies par un hacker qui a déclaré qu’il s’agissait de données de comptes d’utilisateurs Yahoo. Avec l’aide de ses experts techniques, Yahoo dit qu’ils vont analyser et enquêter sur l'affirmation du hacker pour vérifier si les données sont bien celles de comptes de ses utilisateurs.

Source : Rapport de Yahoo déposé à la Securities and Exchange Commission des États-Unis
Avatar de CoderInTheDark CoderInTheDark - Membre éclairé https://www.developpez.com
le 10/11/2016 à 22:23
J'en pense qu'ils ont surtout trouvé un lampiste.
Le laxisme de la direction de Yahoo en matière de sécurité n'y est pour rien c'est sûr
Avatar de Michael Guilloux Michael Guilloux - Chroniqueur Actualités https://www.developpez.com
le 15/12/2016 à 1:38
Yahoo annonce le piratage de plus d’un milliard de comptes
dans une autre violation de sécurité datant du mois d’août 2013

En septembre dernier, Yahoo a affirmé avoir été victime d’un piratage parrainé par un État et dans lequel plus de 500 millions de comptes d’utilisateurs avaient été affectés. La découverte de cette violation de sécurité fait suite à des investigations menées par la société après qu’une supposée base de données de ses utilisateurs a été mise en vente sur le dark web.

Pendant que Yahoo menait ses investigations pour avoir des réponses précises sur ce piratage de grande ampleur, le mois passé, la société a expliqué avoir reçu, des autorités chargées de l'application de la loi, de nouvelles données. Elles ont été fournies par un hacker affirmant qu’il s’agissait de données de comptes d’utilisateurs du fournisseur de messagerie. La société a donc dit qu’elle allait analyser et enquêter sur l'affirmation du hacker pour vérifier si les données sont bien celles de comptes de ses utilisateurs. Après enquête, Yahoo vient de confirmer qu’il s’agit effectivement des données de ses utilisateurs. Pire encore, des analyses plus poussées des données permettent à la société d’avancer qu’un intrus a eu accès à son système et volé des données associées à plus d’un milliard de comptes d’utilisateurs.

Cela confirme les propos d’un ancien employé de la société familier des pratiques de sécurité du fournisseur de services sur internet ; lequel avait dit que l'architecture des systèmes back-end de la société est organisée de manière à ce que le type de violation qui a été rapporté en septembre dernier ait pu exposer un nombre beaucoup plus important de comptes d'utilisateurs, jusqu’à un milliard plus précisément. Toutefois, Yahoo affirme qu’il s’agirait d’une autre violation de sécurité, qui daterait du mois d’août 2013.

« Pour les comptes potentiellement affectés, les informations de compte d'utilisateur qui sont susceptibles d’avoir été volées incluent les noms, les adresses email, des numéros de téléphone, des dates de naissance, des mots de passe hachés (en utilisant MD5) et, dans certains cas, des questions de sécurité chiffrées ou non chiffrées », explique Bob Lord, le responsable de la sécurité chez Yahoo. Il ajoute toutefois que « l'enquête indique que les informations volées n'incluent pas de mots de passe en texte clair, de données de carte de paiement ou d'informations bancaires ». Les données de carte de paiement et les informations de compte bancaire ne sont en fait pas stockées dans le système que la société croit avoir été piraté.

Il faut également préciser que Yahoo ne sait pas encore comment ces données ont été volées. « Nous n'avons pas été en mesure d'identifier l'intrusion associée à ce vol », annonce Bob dans son communiqué.

Yahoo a encore annoncé qu’un pirate a eu accès à son code propriétaire, et utilise ce code pour créer de faux cookies qui pourraient servir pour accéder à des comptes sans mot de passe. « Par ailleurs, nous avons déjà révélé que nos experts enquêtaient sur la création de cookies falsifiés qui pourraient permettre à un intrus d'accéder aux comptes des utilisateurs sans mot de passe. Sur la base de l'enquête en cours, nous croyons qu'un tiers non autorisé a accédé à notre code propriétaire pour apprendre à falsifier les cookies ». Yahoo explique que ses experts ont identifié des comptes d'utilisateurs pour lesquels ils croient que les cookies falsifiés ont été utilisés. Les titulaires des comptes touchés ont été notifiés et les cookies invalidés. Derrière cette attaque, Yahoo croit qu’il s’agirait du même acteur parrainé par un État.

Source : Yahoo

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

Rachat de Yahoo : entre piratage et espionnage, Verizon réclame une réduction d'un milliard $, estimant une baisse de la valeur Yahoo
Yahoo aurait espionné les emails de ses clients pour le FBI ou la NSA, ce qui aurait causé le départ de l'expert en sécurité Alex Stamos pour Facebook
Yahoo : la sécurité ne semble pas être une priorité pour la PDG Marissa Mayer, d'après des employés de l'entreprise
Avatar de Lyons Lyons - Membre confirmé https://www.developpez.com
le 15/12/2016 à 8:36
La plus grosse surprise pour moi c'est qu'il y aie un milliard de compte Yahoo!
Sinon ça commence à être un peu lassant cette mode de toujours essayer de se dédouaner en disant que l'attaquant est une entité étatique pour minimiser la gravité auprès du grand public.
Les passwords hashés en MD5 c'est aussi une bonne blague. Décidément chez Yahoo! y'a pas que l'inovation qui s'est arrêtée en 2005.
Avatar de NSKis NSKis - Membre émérite https://www.developpez.com
le 15/12/2016 à 9:03
Citation Envoyé par Lyons Voir le message
La plus grosse surprise pour moi c'est qu'il y aie un milliard de compte Yahoo!
Sinon ça commence à être un peu lassant cette mode de toujours essayer de se dédouaner en disant que l'attaquant est une entité étatique pour minimiser la gravité auprès du grand public.
Les passwords hashés en MD5 c'est aussi une bonne blague. Décidément chez Yahoo! y'a pas que l'inovation qui s'est arrêtée en 2005.
S'il n'y avait que Yahoo, ce ne serait pas grave... Mais force est de constater que c'est l'ensemble des logiciels et systèmes connectés (de l'anodin site web lambda aux objets connectés en passant par les systèmes bancaires "sécurisés") qui démontrent tous les jours leur défaillance!!!

Et pendant ce temps, on vante à longueur de journée "le Cloud pour tous!"
Avatar de yoyo3d yoyo3d - Membre confirmé https://www.developpez.com
le 15/12/2016 à 11:52
plus d'un milliard de comptes piraté chez Yahoo...
j'aimerais connaitre le nombre de comptes (actifs) gérés par Yahoo... sachant qu'il y à 7,4 milliards d'être humains sur cette planète, que tout le monde n'est pas "informatisé" et que tout le monde n'a pas non plus un compte Yahoo, si ça se trouve ils se sont fait pirater 100% de leurs comptes...
il faut être honnête, aucune boite ne peut assurer la sécurité des données quelle stocke... on ne peut que faire attention aux données que l'on accepte de perdre... et pour ma part, ça commence par: pas de compte "tweetbookgram.etc" et aucune données dans le cloud (sauf à l'insu de mon plein grés). le plus dur c'est d'interdire l'accès à mon PC sans bloquer les mises à jour importantes.. je ne suis pas un pro...
Avatar de Traroth2 Traroth2 - Expert éminent sénior https://www.developpez.com
le 15/12/2016 à 17:20
Et donc, ils n'ont rien dit pendant tout ce temps. Mais ils sont complètement irresponsables !
Avatar de Bigb Bigb - Membre habitué https://www.developpez.com
le 15/12/2016 à 17:32
Yahoo peut être fier d'avoir le record absolu de nombres de comptes piratés... Une belle entreprise qui est morte depuis des années, on le savait et ca ne fait que confirmer que la société n'est plus que l'ombre d'elle meme.
Offres d'emploi IT
Architecte systèmes études & scientifiques H/F
Safran - Ile de France - Vélizy-Villacoublay (78140)
Ingénieur intégration, validation, qualification du système de drone H/F
Safran - Ile de France - Éragny (95610)
Chef projet big data - pse flotte H/F
Safran - Ile de France - Évry (91090)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil