Un nombre inconnu, mais potentiellement important, de comptes Yahoo ont été piratés. Une campagne qui a pu être menée grâce à la récupération d’une base de données tierce contenant des identifiants et des mots de passe. Explications.
Une importante mutation et des problèmes de sécurité trop réguliers
Yahoo est actuellement en pleine mutation. Sous l’impulsion de Marissa Mayer, la firme procède à de nombreux rachats de petites entreprises novatrices, notamment Aviate plus tôt dans le mois, ou encore Summly en mars 2013, rendant au passage son auteur de 17 ans multimillionnaire. Le renouveau de l’entreprise passe également par une focalisation sur les applications mobiles en travaillant notamment sur l’ergonomie et l’interface, comme l’a montré l’application Météo. L’idée est de véhiculer une nouvelle image à travers des créations réussies.
Seulement voilà, Yahoo rencontre des difficultés avec la sécurité. Il y a un an, une faille exposait 400 millions de comptes utilisateurs et la firme avait dû réagir rapidement. En avril, une autre attaque avait lieu contre les comptes et l’arrivée progressive du HTTPS n’y changeait finalement pas grand-chose. Plus récemment, le réseau publicitaire était infecté par un malware. Enfin, la généralisation du HTTPS et l’annonce en fanfare qui en a découlé n’ont pas empêché certains de remarquer que le certificat de sécurité n’était en fait valable que jusqu’au 14 février, comme le prouve la capture d’écran ci-dessous.
Les mauvaises habitudes des utilisateurs n'améliorent pas la situation
Et c’est dans ce contexte que les comptes Yahoo sont à nouveau menacés. Mais cette fois, la firme n’est pas réellement en cause. Comme expliqué dans un billet sur le blog officiel, les accès aux comptes ont été réalisés grâce à des identifiants et des mots de passe qui ont été volés depuis un service tiers. Le principal vecteur de l’attaque est en fait… l’utilisateur lui-même. Pourquoi ? À cause d’une très mauvaise habitude que nous avons soulignée à de nombreuses reprises dans nos colonnes : l’utilisation des mêmes informations de connexion pour de nombreux services.
Les comptes Yahoo sont particulièrement courants. Les utilisateurs qui souhaitent s’inscrire à un service quelconque, par exemple TweetDeck, vont utiliser directement cette adresse comme un identifiant. Pour ne pas devoir gérer un trop grand nombre de mots de passe, certains vont utiliser le même que pour le compte Yahoo. L’opération est potentiellement répétée autant de fois qu’il y a inscription à un service. Mais l’utilisateur se heurte à un évident problème de sécurité : si l’une des bases de données des services est piratée, les utilisateurs n’ont qu’à tenter leur chance avec les autres pour y accéder, jusqu’au compte Yahoo lui-même.
Les mots de passe ont été réinitialisés sur les comptes concernés
Yahoo ne précise pas le nombre de comptes réellement touchés, mais le chiffre peut aller jusqu’à plusieurs millions, en fonction de la taille de la base volée. Pour court-circuiter le piratage, la firme a réinitialisé les mots de passe des comptes concernés. À la reconnexion, les utilisateurs touchés devront donc en choisir un nouveau. D’autre part, Yahoo en profite pour proposer systématiquement d’activer la double-authentification. Ceux qui l’avaient déjà activée auront d’ailleurs besoin de leur adresse email de secours ou de leur téléphone pour récupérer leur compte.
Dans son communiqué, Yahoo précise travailler avec les forces de l’ordre (très certainement le FBI) pour remonter la piste des pirates. En outre, de nouvelles mesures ont été mises en place pour que les systèmes puissent mieux gérer ce type d’attaque à l’avenir. Enfin, la firme insiste sur les bonnes pratiques à observer en matière de mots de passe, notamment le choix de mots différents pour chacun des services utilisés et l’utilisation d’un mélange de lettres, chiffres et symboles.
