Yahoo confirme un vol de données sur plus de 500 millions de comptes

Yahoo confirme un vol de données sur plus de 500 millions de comptes

Une paille

Avatar de l'auteur
Sébastien Gavois

Publié dans

Internet

23/09/2016 3 minutes
52

Yahoo confirme un vol de données sur plus de 500 millions de comptes

Yahoo vient de confirmer que des pirates qui auraient été « soutenus par un État » ont dérobé des informations sur plus de 500 millions de comptes. Verizon, qui est en train de racheter une partie de cette société, évalue la situation.

En août dernier, un pirate connu sous le pseudo Peace mettait en vente des informations de 200 millions de comptes Yahoo, c'est du moins ce qu'il prétendait. La société n'avait pas confirmé une fuite de données à l'époque. Finalement, elle a annoncé hier soir avoir subi l'une des plus grosses fuites de données personnelles de l'histoire. En effet, ce sont pas moins de 500 millions de comptes utilisateurs qui sont concernés. Il n'est par contre pas précisé si les 200 millions de comptes dont parlait Peace sont compris dans le lot.

Quoi qu'il en soit, la société explique que les données ont été dérobées fin 2014 par un ou plusieurs pirates qui auraient été « soutenus par un État » affirme-t-elle. Yahoo n'avance par contre aucune preuve ou explication pour corroborer ses dires.

Des informations en clair, des empreintes de mots de passe

Concernant les données dérobées, la liste est également assez impressionnante puisqu'il est question des noms, adresses email, numéro de téléphone, date de naissance, empreinte (hash) de mot de passe (en majorité via bcrypt, selon la société), mais aussi des questions de sécurité et les réponses associées. Problème supplémentaire, ces dernières n'étaient pas toujours chiffrées. Yahoo précise que « l'enquête en cours suggère » qu'aucun mot de passe non protégé n'a été dérobé, pas plus que les informations bancaires qui étaient stockées dans un autre système.

L'éditeur informe évidemment ses utilisateurs potentiellement touchés par email (dont voici une copie en PDF) et leur demande de changer leur mot de passe sans attendre, y compris sur des sites tiers où le même a été réutilisé. Il conviendra également de faire de même avec les questions de sécurité si les mêmes ont été utilisées sur d'autres services. Par prudence, tous les utilisateurs de Yahoo qui n'ont pas changé ces informations depuis 2014 devraient le faire sans attendre.

Si vous êtes à la recherche d'un bon mot de passe, sachez que nous avons consacré un dossier à cette problématique. Nous avons également mis en ligne un dossier sur des gestionnaires de mots de passe : 1Password, Dashlane et KeePass pour le moment.

Verizon étudie l'impact de cette annonce

Cette histoire pourrait avoir d'autres répercussions, notamment sur le rachat de son activité Internet par Verizon pour 4,8 milliards de dollars. Dans un communiqué transmis à plusieurs de nos confrères, dont le Financial Time, l'opérateur explique qu'il n'a été informé de cette brèche qu'il y a deux jours (le rachat a été signé en juillet) et qu'il a pour le moment « des informations et une compréhension limitées de l'impact » de cette fuite de données.

« Nous évaluerons la situation à travers le prisme des intérêts globaux de Verizon pendant que l'enquête se poursuit » ajoute le groupe, qui se refuse pour le moment à tout autre commentaire. Toujours selon nos confrères, Yahoo pourrait payer jusqu'à 145 millions de dollars de frais si la rupture du contrat devait intervenir. Cette histoire n'est donc pas encore terminée.

52

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Des informations en clair, des empreintes de mots de passe

Verizon étudie l'impact de cette annonce

Commentaires (52)


Ils n’ont pas voler de trucs de fou non plus…








ascrounch a écrit :



Ils n’ont pas voler de trucs de fou non plus…





Enfin toutes les informations personnelles plus les questions/réponses de sécurité, ça compromet pas mal de trucs…



Puis derrière ça, y’a le fait que Yahoo soit côté en bourse, et que donc il a des obligations de communication. Le fait d’avoir caché ça peut leur coûter très cher.



Tiens, cette news m’a fait penser que j’avais un compte sur yahoo.



Jusqu’à il y a 5 minutes.


Est-ce que Yahoo était au courant de ce vol de données depuis fin 2014?&nbsp;<img data-src=" />

&nbsp;… ou l’ont-ils appris en août dernier? (<img data-src=" /> quand même)



Dans leur lettre, ils laissent supposer qu’ils l’ont découvert récemment (“A recent investigation”), mais j’ai un peu de mal à le croire :/


500 millions ! C’est le record non ?

Ca concerne la totalité des comptes Yahoo ? Ca m’étonne déjà qu’ils en aient autant…


C’est le record en effet, le précédent était détenu par MySpace, avec la fuite de 359M de comptes en 2012 (mais ça ne s’est su qu’en 2016).


Pensez à vérifier vos mails sur ce site :https://haveibeenpwned.com/.





C’est un groupe de recherche en sécurité qui propose un service sympa d’alerte en cas de fuite de base de donnés dans le genre. Ils m’ont prévenu deux fois des mois avant Adobe & 000webhost.<img data-src=" />


2014, belle réactivité. <img data-src=" />








Kwaïeur a écrit :



C’est le record en effet, le précédent était détenu par MySpace, avec la fuite de 359M de comptes en 2012 (mais ça ne s’est su qu’en 2016).





C’est donc une sorte de concours à celui qui parviendra à signaler son piratage le plus tard possible ?



Marissa Mayer est pleine de surprise. Je suis pas sur qu’on va la revoir d’aussi tôt à la tête d’une entreprise elle commence à trainé un peu trop de casserole <img data-src=" />


J’ai changé mon mot de passe le 7/10/2014 suite à un comportement douteux de mon compte. Je ne me souviens pas des détails.

Comme ils parlent de fin 2014, est-ce que cela pourrait correspondre ?



Je viens d’activer la double authentification et désactiver les questions de sécurité à la con.



Dans le doute, je vais quand même changer le mot de passe.


“L’éditeur&nbsp;informe évidemment ses utilisateurs potentiellement touchés par email”

Donc si je n’ai pas reçu d’email c’est que mon compte ne fait pas parti des pwned ou que yahoo est aussi mauvais en sécurité qu’en communication ?! <img data-src=" />








patos a écrit :



Enfin toutes les informations personnelles plus les questions/réponses de sécurité, ça compromet pas mal de trucs…



Il n’y a que le vol de mot de passe qui est problématique. Pour les informations personnelles, ils sont verts parce que normalement ils les revendent et là quelqu’un les a eues gratos, mais ça ne change pas grand chose pour nous (à partir du moment où tu donnes tes infos personnelles à un site web, tu peux considérer qu’elles sont dans la nature). Quant aux “questions de sécurité”, quelle vaste blague. Tu pense vraiment que le nom de ton chien ou le nom de jeune fille de ta maman soit vraiment un moyen d’authentification suffisant à l’heure de Facebook ? Franchement…

&nbsp;



Je me souviens avoir du changer de mot de passe début 2015 en suivant leurs recommandations.

C’est donc de l’histoire ancienne, réchauffée à dessein.

Juste au moment où une négociation est en cours … étrange non ?








Trollalalala a écrit :



“L’éditeur informe évidemment ses utilisateurs potentiellement touchés par email”

Donc si je n’ai pas reçu d’email c’est que mon compte ne fait pas parti des pwned ou que yahoo est aussi mauvais en sécurité qu’en communication ?! <img data-src=" />





Ça ou que comme 97% de la planète, tu ne consultes plus ta boite Yahoo Mail <img data-src=" />



Le retour des chinois du FBI!! Ça me rappelle une série avec une saison 2 bien plus pourrie…


J’ai aussi un compte “poubelle” plus jeu ou je ne peut pas changer l’adresse mail de connexion (cf world of war tank)



Et la récupération de mot de passe ne fonctionne pas !!

Je ne reçois pas le code de vérification sur mon adresse de secoure hotmail


Genre Yahoo a 600 millions de clients ! &nbsp;<img data-src=" />&nbsp;








Ingénieur informaticien a écrit :



Je me souviens avoir du changer de mot de passe début 2015 en suivant leurs recommandations.

C’est donc de l’histoire ancienne, réchauffée à dessein.

Juste au moment où une négociation est en cours … étrange non ?





Pas de concurrence acharné ni de guerre commerciale, just vaseline party dans le monde de la spéculation… <img data-src=" />



Tu peux savoir quand tu as modifié ton mot de passe pour la dernière fois dans “Activité récente” de ton compte yahoo.

Tu peux donc répondre à ta question et nous tenir informé aussi. Merci d’avance.


Sauf qu’il suffit de mettre en réponse un truc qui n’a rien à voir avec la question de sécurité…


Tu parles de Mr Robot <img data-src=" /> ?


yahoo mail est beaucoup plus utilisé que tu ne le crois. C’est même la valeur principale de cette société.



Pour moi, c’est mon compte mail principal pour tout ce qui est personnel.

Au bout d’un moment, c’est assez difficile de changer de compte mail quand il t’a servi à t’inscrire un peu partout.



Edit :

Dans l’article NXI qui annonçait le rachat de yahoo, on peut lire :



l’un des services email les plus populaires avec environ 225 millions d’utilisateurs actifs



et que les utilisateurs actifs mensuellement sur tout yahoo sont de 600 millions et 1 milliard au total.


Mine de rien, en totalisant les 11 plus gros piratages, on dépasse les 1580 millions de comptes piratés.


Je l’ai changé hier dès que j’ai eu vent de l’affaire, mais pas de mail recu pour le moment de la part de yahoo (à part celui pour me dire que j’ai changé mon mot de passe…!)








divinechild a écrit :



Sauf qu’il suffit de mettre en réponse un truc qui n’a rien à voir avec la question de sécurité…



Il suffit, oui. Et donc dix ans plus tard, alors même que tu auras oublié ton mot de passe (puisque tu en arrives à la question de sécurité), il faudra te rappeler qu’à la question “quel est le nom de ta première institutrice ?”, il faut répondre d!Mc8*$+&4F. Il suffit, en effet.



Suffit aussi d’être organisé, je ne vais pas étaler plus …








fred42 a écrit :



Pour moi, c’est mon compte mail principal pour tout ce qui est personnel.

Au bout d’un moment, c’est assez difficile de changer de compte mail quand il t’a servi à t’inscrire un peu partout.&nbsp;



J’ai eu mon compte mail principal chez Yahoo de 1998 à ~2004. C’est assez simple de migrer, il faut juste être méthodique. Tu demandes le changement sur tout ce qui te passe par la tête. Quand tu as fini, il y a inévitablement des trucs que tu as oublié. Dès que tu reçois un mail sur l’ancienne adresse, tu demandes le changement tout de suite (pas demain, pas dans une heure, il faut se discipliner : tout de suite). Et à un moment, tu te rends compte que tu n’as rien reçu dessus depuis 2 ans.



D’après toi ?



Cela fait 6 mois MINIMUM que les gars ont exploité toutes l’infra. donc l’effet domino, on en reparles dans 6 à 12 mois.



VIVE LE CLOUD !


Si t’es organisé, tu ne perds pas tes mots de passe, donc pas besoin de question de sécurité.

&nbsp;


Je n’ai jamais dis que que les perdais…



Malgré tout, 2 points :



1 - çà peut quand même arriver (et je ne parle pas que de moi, bien evidemment)



2 - quand les questions secrètes sont obligatoires








divinechild a écrit :



Sauf qu’il suffit de mettre en réponse un truc qui n’a rien à voir avec la question de sécurité…









alex.d. a écrit :



Il suffit, oui. Et donc dix ans plus tard, alors même que tu auras oublié ton mot de passe (puisque tu en arrives à la question de sécurité), il faudra te rappeler qu’à la question “quel est le nom de ta première institutrice ?”, il faut répondre d!Mc8*$+&4F. Il suffit, en effet.





C’est la technique que j’utilisais pour les sites qui imposaient les questions de sécurité ; après, effectivement, fallait se souvenir que le nom de mon institutrice était le modèle de ma première voiture ! Lol

Mais faut rappeler aussi que Yahoo! te permettait de créer ta propre question : en y ajoutant également la réponse qui va bien mais c’est encore plus dur de se souvenir de la question, surtout son libellé exact x années plus tard.

Et vu qu’au final, tout était en clair dans leur bdd piratée, valait mieux les supprimer définitivement…



Ahh yahoo…et MArissa leur CEO… de la pure hype qui a fait pschitt…elle a claqué de l’argent, et maintenant sa boite ne vaut plus rien….&nbsp; Et le fait de mentir à ses clients dont je fais parti…du bol qu’il n’y ait pas de Class action en France…Elle va finir virée à faire des conf super rémunérées








ascrounch a écrit :



Ils n’ont pas voler de trucs de fou non plus…





A voir si on tient compte de ce genre de chose :

http://jenairienacacher.fr/



La véritable info ici :

Il y a encore 500M de gens qui utilisent Yahoo aujourd’hui ? <img data-src=" />








k43l a écrit :



Marissa Mayer est pleine de surprise. Je suis pas sur qu’on va la revoir d’aussi tôt à la tête d’une entreprise elle commence à trainé un peu trop de casserole <img data-src=" />





Ne t’inquiètes pas trop pour elle… avec des casseroles en or comme ça, elle a pas trop à s’inquiéter pour son avenir…

http://www.journaldunet.com/web-tech/start-up/1152668-carriere-marissa-mayer/

http://www.clubic.com/pro/entreprises/yahoo/actualite-804660-marissa-mayer.html



Vachement rassurant tout ça. Je suis toujours étonné de voir que des infos aussi sensibles soient encore stockées en clair…Il y a un manque de sérieux flagrant…



&nbsp;Il y a quoi comme boite mail sympa, sérieuse, assez bien sécurisée ?








jon1138 a écrit :



Vachement rassurant tout ça. Je suis toujours étonné de voir que des infos aussi sensibles soient encore stockées en clair…Il y a un manque de sérieux flagrant…



 Il y a quoi comme boite mail sympa, sérieuse, assez bien sécurisée ?





Moi, perso, j’utilise spamgourmet depuis longtemps, pour éviter le spam….

https://www.spamgourmet.com/index.pl?languageCode=FR



Moi je migre petit à petit sous openmailbox


flickr utilise un compte yahoo <img data-src=" />





ça aide a avoir des “clients”<img data-src=" />


Voilà une bonne occasion de m’investir davantage dans la protection et la gestion de mes données sensibles. A force de voir des dossiers sur les gestionnaires de mots de passe sur NXi et de lire vos retours sur le sujet, je me suis enfin mis à Keepass. Ma DB est protégée par une passphrase + fichier clé. Et je synchronise via google drive qui ne contient que la DB sans le fichier clé bien sûr. Pour synchroniser avec mon smartphone, Keepass2Android fait merveilleusement le job. Ajouter keefox sur le pc pour me faciliter la vie sur firefox et c’est le bonheur. L’occasion de changer mes mots de passe pour les sites les plus sensibles et courants. Me souvenir que d’un seul mot de passe, ça va me faire des vacances. Y a plus qu’à espérer que Keefox et Keepass2Android vont pas se faire trouer <img data-src=" />


Lis l’article <img data-src=" />


Ils sont toujours vivant ?


J’ai relu et je ne vois pas le nombre d’abonnés total <img data-src=" />


je lis ça :

http://www.silicon.fr/piratage-yahoo-experts-securite-interrogent-158389.html



“Les experts sécu s’interrogent” : ben ca fait plus de 40 ans qu’ils s’interrogent et ils ne protègent pas des hacker sérieux … alors … qu’ils continuent de .. .s’intérroger, y’aura toujours des cons pour acheter leur solution backdooré et passoiré !



parefeu, sonde, dpi : le commerce de la peur.



On est juste en train de préparer les masses a ne plus avoir de vie privée : vos données TOUT le monde les a … déjà ! pourquoi attendre ?

C’est big brother 1974.


alors plus qu 6 milliards encore … lol


je lis :



“Question suivante : quel Etat se cacherait derrière ce méga vol de données ? Pour expliquer ce vol, Yahoo met en avant dans un communiqué, un « acteur parrainé par un Etat ». Par contre, il se garde bien de donner un nom sur la potentielle Nation. On peut bien sûr penser aux Etats traditionnellement soupçonnés par les Etats-Unis : Chine, Russie ou Corée du Nord.

En savoir plus surhttp://www.silicon.fr/piratage-yahoo-experts-securite-interrogent-158389.html#oL…





Corée du nord … faudra être cohérent un peu les propagandeux : on nous disaient que la CdN ne dispose que de 28 sites



http://www.latribune.fr/technos-medias/internet/en-coree-du-nord-l-internet-ne-c…

http://www.silicon.fr/hackers-carte-internet-nord-coreen-158342.html


Mon compte principal est sur Yahoo, tous mes autres comptes (genre si je perds mon mot de passe) arrive dessus. Que puis-je choisir comme autre mail, un peu plus fiable, pour centraliser mes accès ? Qu’utilisez-vous ?


Ah… on pouvait ouvrir un compte sur yahoo ? <img data-src=" />



#so_90s








N’dy a écrit :



Est-ce que Yahoo était au courant de ce vol de données depuis fin 2014? <img data-src=" />

 … ou l’ont-ils appris en août dernier? (<img data-src=" /> quand même)



Dans leur lettre, ils laissent supposer qu’ils l’ont découvert récemment (“A recent investigation”), mais j’ai un peu de mal à le croire :/





ils m’envoient un avertissement depuis une ou deux semaines



“Problème de sécurité du compte



Plus d’informations sur le problème de sécurité du compte.



Notification pour les utilisateurs potentiellement concernés.”





[…] adresses email, numéro de téléphone, date de naissance […]



Ça donne tellement (pas) envie de souscrire à l’authentification à deux facteurs ce genre de news…