Yahoo! reconnait s'être fait voler 450 000 mots de passe

Associated content, Associated pas content 43

Yahoo! a confirmé hier s’être fait dérober un fichier contenant les identifiants et les mots de passe relatifs à 450 000 comptes d’utilisateurs. Même si seuls 5 % de ces mots de passe seraient valides d'après le géant de l'Internet, les pirates revendiquant cette divulgation affirment avoir voulu avertir Yahoo! de problèmes de sécurité.

yahoo mot de passe liste 

Yahoo! l’a reconnu hier dans un communiqué :  « Nous confirmons qu’un ancien fichier provenant du Yahoo! Contributor Network (précédemment Associated Content) contenant environ 450 000 identifiants et mots de passe relatifs à Yahoo! et à d’autres sociétés a été compromis le 11 juillet. Moins de 5 % de ces comptes avaient des mots de passe valides ». Visiblement embarrassée, la société américaine a présenté ses excuses aux utilisateurs concernés, et assuré que ses services s’efforçaient de réparer la « vulnérabilité » qui avait conduit à ces divulgations.

 

La veille, le site de la société TrustedSec révélait en effet qu’une brèche dans le site Yahoo! Voices (auparavant Associated Content) avait conduit à la divulgation de centaines de milliers d’identifiants et aux mots de passe qui y étaient associés. Les adresses mails relatives à ces informations étaient diverses (gmail.com, yahoo.com, hotmail.com,...). D’après cette entreprise de sécurité, les mots de passe n’auraient pas été cryptés, et étaient donc stockés « en clair ». Pour extraire ces informations, il aurait suffi d’une « attaque par injection de SQL », ce qui serait « le plus alarmant dans toute cette histoire » selon TrustedSec.

 

d33Ds

 

L’attaque en question a été revendiquée par un groupe du nom de « D33Ds Company », qui propose sur son site Internet le téléchargement des données qu’il s’est procurées. Même s’il ne dévoile pas le nom de domaine précis visé par leur attaque, ce document contient plusieurs centaines de milliers de lignes d’identifiants et de mots de passe. Les auteurs précisent en marge des informations divulguées qu’ils espèrent que « les responsables de la sécurité de ce sous-domaine prendront ça comme un avertissement, et non pas comme une menace ». Et ces derniers de conclure : « Le nom du sous-domaine et les paramètres vulnérables n'ont pas été publiés afin d’éviter des dommages supplémentaires ». 

 

Cet épisode sonne comme un nouvel avertissement, tant pour les sites Web que pour les internautes, après les récentes divulgations de mots de passe de Linkedin ou du site du Figaro.

Par Xavier Berne Publiée le 13/07/2012 à 10:33
Publicité