Yahoo confirme le piratage de plus d'un demi-milliard de comptes
La société attribue l'attaque à un groupe parrainé par un État

Le , par yoyo3d, Membre éclairé
Au cours des derniers mois, les réseaux sociaux et d’autres opérateurs du web ont été alertés, alors qu’un hacker surnommé Peace s’est mis à vendre des bases de données d’utilisateurs sur le dark web. LinkedIn, MySpace, VK.com ou encore Yahoo étaient concernés. Plus de 800 millions de comptes de différents sites et services étaient sur le marché, dont 200 millions pour Yahoo uniquement.

Le piratage des comptes Yahoo datait de 2012 au moment de l’arrivée de Marissa Payer à la tête de la société de services internet. Cette même année, un groupe de hackers dénommé D33ds avait déclaré avoir réussi à pirater Yahoo, mais la société avait minimisé l’ampleur de l’attaque en évoquant seulement 400 000 comptes concernés.

Vendue pour 3 bitcoins (1800 $), la base de données piratée contenait entre autres, les noms d’utilisateurs, les dates de naissance, des mots de passe chiffrés, et parfois des adresses e-mail de récupération de compte, les pays d’origine et des codes postaux pour les utilisateurs américains.


Après avoir mené des investigations sur un éventuel piratage de son réseau, Yahoo vient de livrer ses conclusions. Au-delà de notre expectative, Yahoo reconnait un piratage d’une plus grande ampleur : le fournisseur de messagerie reconnait avoir été victime, en 2014, d’un piratage touchant plus de 500 millions de comptes. Mais dans un communiqué, la société de services internet soupçonne également que l’attaque ait été menée par des acteurs sponsorisés par un État : « Une enquête récente de Yahoo a confirmé qu'une copie de certaines informations de compte d'utilisateur a été volée dans le réseau de l'entreprise à la fin de 2014, par un acteur que nous croyons être parrainé par un État. Les informations de compte peuvent inclure des noms, des adresses e-mail, numéros de téléphone, dates de naissance, mots de passe hachés (la grande majorité avec bcrypt) et, dans certains cas, les questions et réponses de sécurité chiffrées ou non. »

D’après l'enquête en cours, les informations volées ne contiendraient pas les données de cartes de crédit ou autres informations de compte bancaire. Yahoo assure également que ces données ne sont pas stockées sur le système qui a été affecté. En ce qui concerne l’éventuel acteur parrainé par un État, la société ne donne aucune précision, mais sur la base de l’enquête, elle affirme que ce dernier ne serait pas actuellement dans le réseau de Yahoo.

Alors que Yahoo travaille avec la police sur cette question, le fournisseur de messagerie dit avoir notifié les personnes potentiellement affectées pour leur demander de changer rapidement leur mot de passe. Les questions et réponses de sécurité non chiffrées ont également été invalidées de sorte qu’elles ne puissent plus être utilisées pour accéder aux comptes. Entre autres mesures, tous les utilisateurs qui n’ont pas changé leur mot de passe depuis 2014 sont encouragés à le faire.

À l’ensemble des utilisateurs de Yahoo, la société demande de respecter des mesures de sécurité comme :

  • changer les mots de passe, questions et réponses de sécurité pour tous les autres comptes pour lesquels vous avez utilisé des informations identiques ou similaires à celles utilisées pour votre compte Yahoo ;
  • se méfier des communications non sollicitées dans lesquelles l'on vous demande des renseignements personnels ou vous réfère à une page web demandant des informations personnelles ;
  • éviter de cliquer sur des liens ou de télécharger les pièces jointes d'e-mails suspects ;
  • etc.


Source : Yahoo !

Et vous ?

Pensez vous que le portail américain doit craindre une fin proche (inquiétude des utilisateurs / désintérêt des actionnaires de Verizon) ?

Voir aussi :

Un pirate expose les données de plus de 200 millions d'utilisateurs de Yahoo sur le web obscur et les met en vente pour 3 bitcoins


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de Shepard Shepard - Membre éprouvé https://www.developpez.com
le 23/09/2016 à 16:25
- Parrainé par un état
- Vendu 1800€

Je sais pas vous mais moi ça me surprend
Avatar de yoyo3d yoyo3d - Membre éclairé https://www.developpez.com
le 23/09/2016 à 16:53
Moi, ce qui m'interpelle, c'est le ratio entre les données rattachées à 200 millions de comptes (même cryptées / chiffrées) et le montant rachitique de la transaction....
Avatar de marsupial marsupial - Membre émérite https://www.developpez.com
le 23/09/2016 à 22:07
Vous voyez un Etat monter une attaque pour voler 500 millions d identifiants Yahoo ? Pas moi.
Avatar de Sunchaser Sunchaser - Membre expert https://www.developpez.com
le 23/09/2016 à 23:57
Ma grande surprise, cela n'a pas été l'annonce d'un gros piratage, mais que Yahoo existait encore !
Avatar de NSKis NSKis - En attente de confirmation mail https://www.developpez.com
le 24/09/2016 à 9:43
Citation Envoyé par marsupial Voir le message
Vous voyez un Etat monter une attaque pour voler 500 millions d identifiants Yahoo ? Pas moi.
Lorsque l'on se fait pirater, il vaut mieux affirmer que l'on a été la victime d'un Etat plutôt que d'un simple étudiant boutonneux... On a l'air moins con
Avatar de Stéphane le calme Stéphane le calme - Chroniqueur Actualités https://www.developpez.com
le 24/09/2016 à 18:54
Piratage de Yahoo : un utilisateur poursuit l'entreprise pour « négligence »,
le rachat de Yahoo par Verizon pourrait en pâtir

Après avoir mené son enquête, Yahoo a reconnu avoir été la victime d’un piratage qui date de 2014 et concerne plus de 500 millions de comptes. Dans un communiqué, l’entreprise a évoqué une attaque par une entité sponsorisée par un État : « une enquête récente de Yahoo a confirmé qu'une copie de certaines informations de compte d'utilisateur a été volée dans le réseau de l'entreprise à la fin de 2014, par un acteur que nous croyons être parrainé par un État. Les informations de compte peuvent inclure des noms, des adresses e-mail, numéros de téléphone, dates de naissance, mots de passe hachés (la grande majorité avec bcrypt) et, dans certains cas, les questions et réponses de sécurité chiffrées ou non ».

Yahoo a fait son annonce jeudi 22 septembre. Mais le vendredi 23 septembre, le groupe a été poursuivi pour « négligence grave » par Ronald Schwartz, un résident de New York qui vise le statut de recours collectif qui va représenter tous les utilisateurs américains de Yahoo! affectés par le vol de leurs informations personnelles. Il entend réclamer des dommages et intérêts. Ses avocats ont déposé la plainte à San Jose (Californie), dans le même État que la maison mère de l’entreprise. À ses côtés, Schwartz à deux spécialistes des recours collectifs : les cabinets Robbins Geller Rudman & Dowd et Labaton Sucharow

La plainte suggère que Yahoo aurait pu éviter le piratage s’il avait renforcé ses mesures de sécurité étant donné qu’il avait déjà été la cible de pirates par le passé et n’a donc pas tenu à sa promesse de prendre « très au sérieux » la vie privée de ses utilisateurs : Yahoo a démontré de la « négligence à l'égard de la sécurité des informations personnelles de ses utilisateurs qu'il a promis de protéger ».

Schwartz reproche également à Yahoo d’avoir attendu près de deux mois pour faire un communiqué concernant la faille, ce qui est illégal dans 47 États aux Etats-Unis, qui requièrent que les entreprises qui ont été victimes d’un piratage le fassent savoir à leurs clients même si le délai varie d’un État à l’autre : certains demandent d’en informer les clients sur une période allant de 30 à 45 jours tandis que d’autres utilisent des termes plus généraux « aussitôt que ce sera utile » ou « sans délai déraisonnable ». Dans ces États, la période de notification peut être plus courte comme le montre un cas récent en Californie où l’avocat Aaron Tantleff, travaillant pour le compte de Foley and Lardner, a estimé que même deux semaines représentent un délai trop long.

Alors combien de temps a attendu Yahoo avant d’en informer ses utilisateurs ? Mais surtout pourquoi l’entreprise n’en a pas informé rapidement ses utilisateurs ? Une source proche de l’entreprise, qui a souhaité gardé l’anonymat, a affirmé ceci à propos du délai : « suite à un rapport plus tôt cet été (juillet 2016) d'un hacker qui a indiqué que 280 millions comptes utilisateurs sont en vente sur le marché noir, nous avons lancé une enquête interne et n’avons trouvé aucun éléments de preuve pour étayer les allégations du pirate. Après avoir terminé cette enquête, notre équipe de sécurité interne a continué de procéder à un examen plus large et plus profond de nos systèmes. Chemin faisant, elle a identifié des preuves du vol par un acteur parrainé par l'État qui a eu lieu en 2014 ». Cependant, même si cette affirmation s’avérait vérifiée, elle ne signifie pas nécessairement que Yahoo a respecté la loi.

Actuellement, Yahoo et Verizon ont négocié le rachat de l’ancienne gloire d’internet à hauteur de 4,8 milliards de dollars, rachat qui concerne l’acquisition du cœur de métier sur internet de Yahoo mais aussi plusieurs propriétés immobilières. Selon le spécialiste Dan Primack, cette poursuite pourrait bien affecter ce projet. La plus grosse menace à ce rachat se trouve dans un accord signé par les deux parties le 23 juillet 2016 qui avance que : « à la connaissance du vendeur, il n'y a pas eu d'incidents ou de réclamations de tiers alléguant, (i) atteintes à la sécurité : l'accès non autorisé ou utilisation non autorisée d’un des systèmes de technologie de l’information de l’une des filiales du vendeur ou (ii) la perte, le vol , l'accès non autorisé ou l'acquisition, la modification, la divulgation, la corruption ou toute autre utilisation abusive des données personnelles en possession du vendeur ou de l’une de ses filiales, ou d'autres données confidentielles détenues par le vendeur ou ses filiales (ou fournies au vendeur ou ses filiales par leur clients) en possession du vendeur ou de ses filiales, chaque cas (i) et (ii) pourrait raisonnablement avoir un effet défavorable important sur les affaires ».

Source : Fortune (recours collectif contre Yahoo), Fortune (analyse d'un paragraphe d'un accord signé entre Yahoo et Verizon)

Voir aussi :

Verizon va bientôt racheter Yahoo! pour 4,8 milliards de dollars, l'entreprise va bénéficier du cœur d'activité dans les services en ligne de Yahoo!
Avatar de marsupial marsupial - Membre émérite https://www.developpez.com
le 24/09/2016 à 20:28
Nul n est a l abri d un piratage, mais la plus grave des negligences restera de laisser 2 ans entre le piratage et l information des utilisateurs avec les premieres mesures basiques. Et laisser 3 mois de latence entre l annonce, l investigation qui officiellement ne trouve rien et subitement elle trouve quelque chose lorsque les donnees se retrouvent sur le net. Entre temps, Les pirates ont du bien profiter. Faire porter le chapeau a un hypothetique Etat dont ce n est vraiment pas le domaine de predilection, prouve le niveau de securite.
Je comprends de ce fait la plainte deposee.
Avatar de Aurelien Plazzotta Aurelien Plazzotta - Membre éprouvé https://www.developpez.com
le 25/09/2016 à 17:04
Tout comme Twitter, le rachat de Yahoo ne va nullement en partir. C'est juste une opération de destabilisation afin de casser les prix avant une offre publique d'achat.
Avatar de fenkys fenkys - Membre éprouvé https://www.developpez.com
le 26/09/2016 à 8:22
Bonjour,

Je suis d'accord, la plainte est d'autant plus justifiée que beaucoup de monde utilise le même mot de passe pour plusieurs comptes. En ne disant rien ce sont tous ces autres comptes qui ont été mis en danger. Et peut être qu'un procès avec des dédommagements lourds pourrait à l'avenir inciter les entreprises à faire plus attention.
Avatar de Aizen64 Aizen64 - Membre averti https://www.developpez.com
le 27/09/2016 à 18:05
Je suis également d'accord sur le fait que Yahoo aurait du en informer ses utilisateurs immédiatement, pas 2 ans après.

Cette partie mise à part, pour les mots de passe, j'imagine que Yahoo les a hachés et qu'ils restent donc inexploitables même s'ils sont divulgués.
Contacter le responsable de la rubrique Accueil