Piratage de Yahoo : plus d'un milliard d'utilisateurs pourraient être affectés
D'après un ancien responsable de la société

Le , par Michael Guilloux, Chroniqueur Actualités
Suite à une enquête visant à détecter une éventuelle attaque de ses systèmes, Yahoo a récemment déclaré que plus de 500 millions de ses comptes ont été piratés en 2014, par un soi-disant groupe parrainé par un État. Il s’agit de la plus grande intrusion rendue publique qu’a jamais connue une entreprise de services sur internet.

Si l’hypothèse de Yahoo sur les auteurs de l’attaque est sérieusement mise en doute, on peut également s’interroger sur le nombre de comptes utilisateurs réellement affectés par cette grosse violation. D’après un ancien responsable de la société, familier avec les pratiques de sécurité du fournisseur de services sur internet, Yahoo aurait tout simplement essayé de minimiser l’ampleur de la brèche. La société a en effet déclaré qu’au moins 500 millions de comptes ont été piratés, ce qui est vrai, puisque « au moins 500 millions » veut dire que le nombre de comptes réellement affectés dépasse cette valeur. Mais pour cet ancien de la société, jusqu’à un milliard d’utilisateurs actifs pendant la période du piratage auraient été affectés.

Il explique en effet que l'architecture des systèmes back-end de la société est organisée de manière à ce que le type de violation qui a été rapporté ait pu exposer un nombre beaucoup plus important de comptes d'utilisateurs. Les identifiants des utilisateurs pour se connecter aux produits de Yahoo tels que Yahoo Mail, Finance et Sports étaient en effet stockés dans une base de données principale. Et cette base de données qui sert de principal référentiel pour les informations d’identification des utilisateurs de Yahoo serait encore utilisée par la société d’après les profils LinkedIn de certains employés encore en fonction chez Yahoo et une décision du tribunal en 2015.

Les identifiants étant centralisés dans cette base, il est donc très probable qu’un piratage porte sur l’ensemble des données et non une partie. Il faut également noter qu’au moment du piratage de 2014, la base de données comptait entre 700 millions et un milliard d'utilisateurs actifs accédant aux produits de Yahoo chaque mois, mais également de nombreux autres comptes inactifs qui n'ont pas été supprimés. En considérant les comptes inactifs, l’ancien responsable de Yahoo – qui prétend être régulièrement en contact avec les employés actuels de la société, y compris ceux qui enquêtent sur la brèche – estime que le nombre de comptes piratés pourrait se situer entre un et trois milliards.

Source : Business Insider


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de nchal nchal - Membre expérimenté https://www.developpez.com
le 04/10/2016 à 9:20
1 et 3 milliards ? Si c'est vrai c'est un joli score. Egalement, c'est "couillu" de la part de Yahoo! de jouer autant avec leur image de marque car si les gens se rendent compte que Yahoo leur a menti à ce point
Avatar de TiranusKBX TiranusKBX - Expert confirmé https://www.developpez.com
le 04/10/2016 à 9:49
Yahoo élue plus belle passoire de 2014
Avatar de RyzenOC RyzenOC - Membre extrêmement actif https://www.developpez.com
le 04/10/2016 à 10:17
Non mais yahoo c'est 1 milliards de comptes inactifs depuis 10ans et 500 millions de boite mails poubelles.
Avatar de marsupial marsupial - Membre émérite https://www.developpez.com
le 04/10/2016 à 12:43
Citation Envoyé par nchal Voir le message
1 et 3 milliards ? Si c'est vrai c'est un joli score. Egalement, c'est "couillu" de la part de Yahoo! de jouer autant avec leur image de marque car si les gens se rendent compte que Yahoo leur a menti à ce point
Une class action est engagée. Bien qu'elle porte sur la réactivité, cela veut dire enquête et investigations. Donc tous finirons par savoir le fin mot de l'histoire car rien n'est plus mal vu et puni aux Etats-Unis que le parjure. Sur 1 à 3 milliards de compte, on trouvera certainement des peoples pour publiquement dénoncer le scandale.

Et pire, la première attaque daterait de 2012. Yahoo! ne l'a soit pas détectée, ou n'a rien dit. Et, surtout, apparemment rien fait.
Avatar de NSKis NSKis - En attente de confirmation mail https://www.developpez.com
le 04/10/2016 à 12:44
Citation Envoyé par TiranusKBX Voir le message
Yahoo élue plus belle passoire de 2014
Est-ce bien utile de "cracher" sur Yahoo quand tous les autres se sont également fait voler les profils de leur clients???

Quelques exemples pour les gens ayant des problèmes de mémoires:

- Dropbox: 68 millions d'identifiants volés en 2012
- Ashley Madison: 32 millions de comptes clients volés en 2015
- Linkedin: 100 millions d'identifiants clients volés en mai 2016
- MySpace: plusieurs centaines de millions d'identifiants annoncés comme volés en 2016
- Twitter: 32 millions de comptes volés en juin 2016

La seule conclusion à ces annonces est que quelque soit la grosseur de l'entreprise, aucune n'est en mesure de protéger les données qui sont en ligne. Certains feraient bien de s'en souvenir avant d'étaler leur vie privée sur le web...
Avatar de jvedie jvedie - Candidat au Club https://www.developpez.com
le 06/10/2016 à 10:58
Sur ce thème de la vie privée, de la surveillance de masse par les états, la perte de contrôle de notre "vie numérique", je vous conseille le livre de Tristan Nitot "Surveillance" qui vient tout juste de sortir : https://www.amazon.fr/Surveillance-l...dp/2915825653/

Il ne faut évidemment ne pas non plus tomber dans la paranoia et crier au complot, il ne s'agit pas du tout de cela.
Ce livre est vraiment très intéressant, il s'adresse à tout le monde
Avatar de Bigb Bigb - Membre actif https://www.developpez.com
le 06/10/2016 à 11:01
Ca fait vraiment froid dans le dos quand meme ces annonces !
J'ai toujours été frileux pour stocker mes données pro et perso sur le cloud, maintenant c'est hors de question !
Avatar de _Alain_ _Alain_ - Membre du Club https://www.developpez.com
le 06/10/2016 à 15:31
Yahoo!... Cette société apparemment incapable de se centrer sur, et développer, son activité prinicipale,
ni d'assurer la sécurité des données de ses clients, et qui passe son temps à développer en secret un
logiciel pour scanner les emails entrants de ses clients pour le compte des services d'"intelligence"
américains:

Exclusive: Yahoo secretly scanned customer emails for U.S. intelligence - sources.

N'est-il pas "quelque peu" bizarre que la PDG de Yahoo!, Marissa Mayer, anciennement vice-présidente chez Google, soit en train de couler un concurrent de Google?

Comme c'est bizarre:


Quoi qu'il en soit, les détenteurs de compte Yahoo! peuvent télécharger/récupérer
en masse leurs photos sur Flickr (dont le propriétaire est Yahoo!), avant de clôturer leur compte Yahoo!:

You Can Now Bulk Download from Flickr Your Photos Really Do Belong to You
Avatar de athlon64 athlon64 - Membre confirmé https://www.developpez.com
le 06/10/2016 à 20:47
Citation Envoyé par NSKis Voir le message
...

La seule conclusion à ces annonces est que quelque soit la grosseur de l'entreprise, aucune n'est en mesure de protéger les données qui sont en ligne. Certains feraient bien de s'en souvenir avant d'étaler leur vie privée sur le web...
Ce qui m’inquiète c'est le vol des données d’États... imaginez les impôts, les bases de données de la santé maladie ou pire la base de données du ministère de la surveillance

Ben oui avec toutes ces lois dues à la loi sur la surveillance, les institutions récoltent un max de données sur les habitants d'un pays. Si on suit cette logique ça va arriver...
Avatar de Namica Namica - Membre expérimenté https://www.developpez.com
le 07/10/2016 à 2:33
Citation Envoyé par athlon64 Voir le message
Ce qui m’inquiète c'est le vol des données d’États... imaginez les impôts, les bases de données de la santé maladie ou pire la base de données du ministère de la surveillance

Ben oui avec toutes ces lois dues à la loi sur la surveillance, les institutions récoltent un max de données sur les habitants d'un pays. Si on suit cette logique ça va arriver...
Pas tout à fait d'accord avec toi.
Il y a bien quelques lois ou tentatives de lois liberticides pour augmenter la surveillance, cependant dans les pays de l'union européenne, jusqu'à présent, ce sont les lois sur la protection des données à caractères privé qui prévalent et chaque pays de l'union doit avoir un organisme comme la CNIL pour y veiller.
Le problème ici relève plus :
  • des développements et implémentations ne respectant pas les bonnes pratiques,
  • du manque de budget relatif à la sécurité ($ à court terme avant tout),
  • du manque de communication/réactivité/correction, voire des problèmes de dissimulation/mensonge...

A noter que les nouvelles dispositions de l'union européenne prévoient l'obligation d'information dans de tels cas.
Le problème de l'agrégation des données à caractère personnel venant de plusieurs sources (filiales ou pas de l'entreprise qui consolide les données) et de l'usage qui en est fait est aussi lié à la nationalité de l'entreprise et de ses sièges d'activité.
Si l'entreprise n'a pas de siège dans le territoire de l'union européenne et que vous lui confiez vos données, les lois de l'union ne vous protègent pas. Et bonjour pour faire valoir un droit quelconque.

Il est aussi à remarquer que beaucoup de CNIL européennes ont entrepris des actions ces derniers temps contre quelques grands groupes (Facebook entre autres).
Et que, vu la méfiance croissante des européens à l'égard du stockage de données hors union européenne (États-Unis principalement), ainsi que l'échec du "Safe Harbor" dont la nouvelle mouture n'est pas entièrement satisfaisante, on constate un mouvement des grands acteurs (Amazon, Cloud Azur, etc.) pour délocaliser leur data-centers vers nos pays de l'union.
Toutefois, je ne pense pas que ce mouvement réglera le problème de la consolidation des données à caractère personnel et de l'usage qui en est fait. Les CNIL auront encore du boulot, même s'il sera peut-être facilité du fait du non transfert vers des pays hors union européenne (à moins que ces data-centers européens ne soient de la poudre aux yeux). Car, en effet, les marketeux continuerons à croiser nos données pour essayer de nous profiler et de vendre nos profils à des annonceurs qui vont nous fourguer des pub pour un rasoir électrique, pub dont on a plus besoin vu qu'on l'a déjà acheté le mois dernier ce p.. de rasoir de m...
Contacter le responsable de la rubrique Accueil