Piratage Yahoo : la filiale de Verizon estime désormais que ce sont trois milliards de comptes
Qui ont été impactés

Le , par Stéphane le calme, Chroniqueur Actualités
En septembre 2016, Yahoo a affirmé avoir été victime d’un piratage parrainé par un État et dans lequel plus de 500 millions de comptes d’utilisateurs avaient été affectés.

C’est dans ces circonstances qu’un ancien employé de la société, familier des pratiques de sécurité du fournisseur de services sur internet, a indiqué que l'architecture des systèmes back-end de la société est organisée de manière à ce que le type de violation qui a été rapporté en septembre 2016 ait pu exposer un nombre beaucoup plus important de comptes d'utilisateurs : il a évoqué le milliard de comptes affectés. De son côté, Yahoo a affirmé qu’il s’agirait d’une autre violation de sécurité, qui daterait du mois d’août 2013.

En effet, en novembre 2016, le fournisseur de messagerie a annoncé avoir reçu de nouvelles données provenant d’un hacker et qui appartiendraient à ses utilisateurs. L'analyse de ces données a permis à Yahoo de découvrir qu’un intrus a réussi à pirater plus d'un milliard de comptes d'utilisateurs dans ladite opération du mois d’août 2013. L’annonce a été faite en décembre 2016.

Hier, la grande enseigne, qui est désormais propriété de Verizon, s’est ravisée à propos du nombre de comptes affectés par la violation de sécurité de 2013.

« Yahoo, qui fait maintenant partie intégrante de Oath (filiale de Verizon), a annoncé aujourd'hui qu'elle signale des comptes d'utilisateurs supplémentaires affectés par un vol de données d'août 2013 précédemment divulgué par la société le 14 décembre 2016. À cette époque, Yahoo a révélé que plus d'un milliard, sur environ trois milliards de comptes existants en 2013, ont probablement été affectés. En 2016, Yahoo a pris des mesures pour protéger tous les comptes, y compris en informant directement les utilisateurs touchés identifiés à l'époque, nécessitant des modifications de mot de passe et invalidant des questions de sécurité et des réponses non chiffrées afin qu'elles ne puissent pas être utilisées pour accéder à un compte. Yahoo a également notifié les utilisateurs via un avis sur son site.

« À la suite de l'acquisition de Yahoo par Verizon, et pendant l'intégration, la société a récemment obtenu de nouveaux renseignements et croit maintenant, à la suite d'une enquête avec l'aide d'experts en sécurité, que tous les comptes d'utilisateurs de Yahoo ont été affectés par le vol d'août 2013. Bien que ce ne soit pas un nouveau problème de sécurité, Yahoo envoie des notifications par courrier électronique aux comptes d'utilisateurs affectés supplémentaires. L'enquête indique que les informations sur les comptes utilisateurs qui ont été volées n'incluent pas les mots de passe en texte clair, les données de cartes de paiement ou les informations sur les comptes bancaires. La société continue de travailler en étroite collaboration avec les forces de l'ordre. »

Associés à la révélation en septembre de la brèche d'Equifax, les développements d'hier racontent une histoire un peu amère en laissant penser que certaines des plus grandes et des plus anciennes institutions sur le Web font partie des architectures les plus vulnérables face aux pirates.

Yahoo a fourni une liste de lignes directrices pour ce qu'il faut faire pour sécuriser votre compte. Ce sont des recommandations qui peuvent être inspirantes même si vous n’avez pas de compte Yahoo.
  • Modifiez vos mots de passe et vos questions et réponses de sécurité pour tout autre compte sur lequel vous avez utilisé les mêmes informations ou des informations similaires.
  • Passez en revue vos comptes pour chercher des activités suspectes.
  • Soyez prudent face à toute communication non sollicitée qui vous demande vos informations personnelles ou vous renvoie à une page Web demandant des informations personnelles.
  • Évitez de cliquer sur les liens ou de télécharger des pièces jointes à partir de courriels suspects.

Source : déclarations Yahoo


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de gagouze2 gagouze2 - Nouveau membre du Club https://www.developpez.com
le 04/10/2017 à 12:01
Je suis possesseur d'adresse mail chez yahoo

et la c'est l'annonce de trops !!!!!!!

Il n'y pas de mot pour qualifier une communication et une sécurité en dessous de tout et c'est un euphémisme.

Je lance le projet de changer de fournisseur de boite mail des ce soir.
Avatar de GordonFreeman GordonFreeman - Membre régulier https://www.developpez.com
le 04/10/2017 à 14:31
Bonjour,

C'est peut-être moi qui suit à la ramasse mais j'ai de la peine à comprendre comment Yahoo, le truc qui sombre gentillement depuis x années, peut avoir 3 milliards de comptes utilisateurs.. Même s'ils n'étaient pas tous actif, ça fait quand même un sacré chiffre....
Avatar de koyosama koyosama - Membre confirmé https://www.developpez.com
le 04/10/2017 à 19:09
Citation Envoyé par GordonFreeman Voir le message
Bonjour,

C'est peut-être moi qui suit à la ramasse mais j'ai de la peine à comprendre comment Yahoo, le truc qui sombre gentillement depuis x années, peut avoir 3 milliards de comptes utilisateurs.. Même s'ils n'étaient pas tous actif, ça fait quand même un sacré chiffre....

On se fait peut-être vieux. Mais à une époque, yahoo était très mieux considéré que Gmail. Gmail étaient encore en bêta et beaucoup de pays d'arnaque africain venaient avec des comptes Gmail.
Hotmail ne faisait pas asez professionnel et aol étaient considéré comme mort. C'est comme cela que yahoo c'est constiuter une base d'utilisateurs yahoo. En fait, sans la partie finance et mail de yahoo, elle aurait disparu depuis perpect.

Après la dernière version semble plus simple et joli à utiliser. Aujourd'hui cela à completment changer, Gmail comme leboncoin commence a filtré ces pays là. Leboncoin a mis un filtre anti zone. Je peux te dire que j'utilise kijiji, j'avais oublié à quel point les spam étaient fréquents. Gmail veut au minimum un numéro de téléphone maintenant, yaho aussi d'ailleurs pour authentifier un utilisateur. Sans compté Gmail devenu encore plus populaire grâce à Android.

Donc les gens on gardé leur mail professionnel dessus. C'est extrêment compliqué de changer tous les mails utilisé sur tous les services, surtout pour les gens qui ne sont pas forcément des pros de l'informatique.
Avatar de ManusDei ManusDei - Membre expert https://www.developpez.com
le 05/10/2017 à 9:21
Citation Envoyé par gagouze2 Voir le message
Je lance le projet de changer de fournisseur de boite mail des ce soir.
Go protonmail
Avatar de tanaka59 tanaka59 - Membre confirmé https://www.developpez.com
le 05/10/2017 à 10:36
Yahoo! est toujours très populaire en Asie .

Genre au Japon , en Chine , à Taiwan , en Corée , et dans l'Asie du Sud ouest comme le Vitenam et la Thailand . C'est pas moins de 250 à 300 millions de comptes voir plus ...
Avatar de 4sStylZ 4sStylZ - Membre confirmé https://www.developpez.com
le 05/10/2017 à 12:08
Protonmail c’est surement secure mais les possibilité de mise en forme et de classement sont pas terribles.
Avatar de gagouze2 gagouze2 - Nouveau membre du Club https://www.developpez.com
le 05/10/2017 à 14:10
Merci à vous pour l'aide apportée à mon prohet
Avatar de koyosama koyosama - Membre confirmé https://www.developpez.com
le 05/10/2017 à 14:27
Citation Envoyé par ManusDei Voir le message
Ce serait l'ideal mais j'ai que 500 mo gratuit (et cela part vite) et en plus c'est plus difficile de communiquer avec le monde exterieur. Il privilège les emails protonmail d'abord.
Avatar de AoCannaille AoCannaille - Membre expérimenté https://www.developpez.com
le 05/10/2017 à 15:16
Citation Envoyé par koyosama Voir le message
Ce serait l'ideal mais j'ai que 500 mo gratuit (et cela part vite) et en plus c'est plus difficile de communiquer avec le monde exterieur. Il privilège les emails protonmail d'abord.
500mo, en restant en webmail, c'est effectivement vite atteint.

Mais en partant du principe que tu essaye de sécuriser au maximum ta boite mail, les laisser ad vitam aeternam sur le serveur n'est pas une bonne idée. Il faut revenir au bon vieux client mail lourd et en POP : Mail téléchargé = mail supprimé du serveur.
A partir de là, tu as autant d'espace que tu le souhaite, chez toi, pour archiver les mails.

Tu peux imaginer de sauvegarder automatiquement tes mails sur un espace synchronisé avec owncloud ou équivalent.
Avatar de TheYoungGeek43 TheYoungGeek43 - Membre du Club https://www.developpez.com
le 06/10/2017 à 8:23
C'est la combien de fois que ça arrive ^^ j'ai l'impression que Yahoo son les pires en sécurité les pauvres
Avatar de gagouze2 gagouze2 - Nouveau membre du Club https://www.developpez.com
le 06/10/2017 à 9:12
yahoo s'est fait pirater tous les compte mail d'un seul coup

mais il ont dit d'abbord que 500 million de compte avais été touche et cela deux-trois ans après les fait (super réactivité ) , puis 1 millard de compte quelque mois plus tard et récement la totalité.

Cela n'a pas arranger leur image.
Avatar de arnomedia arnomedia - Membre régulier https://www.developpez.com
le 13/10/2017 à 1:58
J'ai toujours 2 comptes Yahoo, dont un avec une adresse que j'affectionne, mais j'ai aussi du Gmail, GMX et 1&1, tout ça dans mon client de messagerie. Le seul compte IMAP qui fonctionne mal est celui de Yahoo. Encore que GMX, j'ai l'impression que c'est pas extra non plus, mais j'utilise très peu cette adresse. Yahoo a aussi maintenant le Webmail le plus pourris d'entre tous je trouve. Et comme Orange, plusieurs mail légitimes arrivent dans les SPAM, comme ceux expédiés par Leboncoin (pratique pour la réactivé...). Bien sûr les SPAM ne sont pas paramétrables... Bref, mois aussi je vais me résoudre à laisser tomber Yahoo, ça sera bon pour ma santé
Avatar de HaggarDuNord HaggarDuNord - Membre à l'essai https://www.developpez.com
le 14/10/2017 à 11:04
Une amie ne peut plus aller sur son compte Yahoo pour y consulter ses emails. Son mot de passe n'était pas extraordinaire non plus.Je pense qu'elle a subit un piratage de sa boite email. Quand on demande à yahoo la fourniture d'un nouveau mot de passe, ce dernier nous demande de nous identifier par un code envoyé par sms sur le numéro renseigné lors de la création de l'adresse email. Le souci, c'est que le numéro de tel renseigné est une ligne fixe donc elle ne reçoit pas ce sms.
Bien sûr impossible de pouvoir joindre une personne physique par tel, chat, email chez Yahoo.

Quelqu'un connait une manip ?

Merci pour vos réponses.
Avatar de deathman8683 deathman8683 - Membre actif https://www.developpez.com
le 14/10/2017 à 15:12
C'est osé de dire aux utilisateurs de mieux choisir leur mot de passe (de les accuser). Pour qu'autant de comptes se fassent si souvent crackés il faut vraiment qu'ils fassent de mauvais choix technique et refusent de se remettre en question. C'est sûrement plus rentable d'exploiter de la hotline du tiers-monde plutôt que des infrastructures plus solides et sécuritaires.

Le compte mail est LE compte où la sécurité doit être la plus critique, s'il y a bien une chose sur laquelle il faut prendre le temps de réfléchir sur Internet c'est bien ceci. Choisir un mot de passe c'est une chose mais son chiffrement et stockage ne sont pas de notre ressors avec ce genre de webmail et il est clair qu'il y a un problème à ce niveau. A défaut d'avoir un serveur mail chez soit (ça peut être risqué aussi, mais on a moins de chance de se faire attaquer chez soit que chez Yahoo) il faut au moins s'assurer d'utiliser un webmail reconnus comme sécuritaire (le contraire de Yahoo) qui renseigne sur les technologies qu'il utilise et qu'elles ne sont pas mauvaises. Mais de toute façon aucun moyen d'être sûr qu'un service tiers fasse bien ce qu'il dit, à moins d'avoir un accès spécial aux serveurs.

La solution proposée plus haut de revenir aux client lourds pour effacer les mails d'un serveur tiers n'empêchera pas quelqu'un de mal-intentionné et techniquement capable de faire appel aux "mot de passe oublié" mais ce serait une petite sécurité bonus.

D'après la news, seuls les condensats (hashs) des mots de passe ont été récupérés, les condensats de certains algorithmes (MD5, SHA-0, SHA-1) sont tous présents dans des grosses tables de correspondances disponibles, il suffit d'une recherche dans la table pour obtenir le mot de passe en clair. La première sécurité serait donc de s'assurer d'utiliser un algorithme plus solide pour générer les condensats (SHA-256 par exemple). Quel hash utilise Yahoo actuellement, si quelqu'un le sait ? Il faudrait aussi qu'ils sécurisent mieux leur SGBD (base de données) ou la change complètement pour que personne ne puisse aussi facilement récupérer les Hashs. Je ne sais pas non plus quelle SGDB ils utilisent ni sa configuration, quelqu'un le sait ? L'avantage de cacher les détails c'est que personne ne viendra vous dire que vous avez optez pour des solutions douteuses.

Ils préfèrent concentrer leur effort dans la traque des crackeurs qui opèrent surtout pour les réveiller en démontrant la faiblesse de leur infrastructure, vive la productivité...

Yahoo (comme les autres webmails) a une lourde responsabilité alors qu'il voit ses utilisateurs comme des numéros, c'est incompatible, ce genre de responsabilité ne devrait pas être confié à une société lucrative qui n'a de compte à rendre à personne (ou presque). C'est aux utilisateurs de se réveiller et de faire disparaître ce poison en arrêtant enfin de s'en servir, ce n'est pas ses gérants qui vont changer quoi que ce soit car c'est l'immobilité qui maintient sur le trône. Malheureusement ils ont intérêt à ce que les utilisateurs pensent de même et ils ont, par contre, les moyens pour ça : le changement fait peur et on n'a pas le temps, même si ça produirai une chose meilleure. L'inertie n'est pas le propre de l'Homme.

Citation Envoyé par HaggarDuNord Voir le message
Quelqu'un connait une manip ?
Il doit bien y avoir un moyen de contacter leur service technique (même si j'imagine qu'il doit être en surcharge permanente...) regarde plus en détail sur le site tu trouvera sûrement quelque chose. Ils ont obligatoirement un service technique vu l'ampleur de l'infrastructure.
Offres d'emploi IT
DÉVELOPPEUR SYMFONY EXPÉRIMENTÉ H/F Montpellier
Smile - Rhône Alpes - Grenoble (38000)
Data scientist
AUBAY - Ile de France - Boulogne-Billancourt (92100)
Développeur Backend
Adveez - Midi Pyrénées - Toulouse (31000)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil