Yahoo vient de confirmer que des pirates qui auraient été « soutenus par un État » ont dérobé des informations sur plus de 500 millions de comptes. Verizon, qui est en train de racheter une partie de cette société, évalue la situation.
En août dernier, un pirate connu sous le pseudo Peace mettait en vente des informations de 200 millions de comptes Yahoo, c'est du moins ce qu'il prétendait. La société n'avait pas confirmé une fuite de données à l'époque. Finalement, elle a annoncé hier soir avoir subi l'une des plus grosses fuites de données personnelles de l'histoire. En effet, ce sont pas moins de 500 millions de comptes utilisateurs qui sont concernés. Il n'est par contre pas précisé si les 200 millions de comptes dont parlait Peace sont compris dans le lot.
Quoi qu'il en soit, la société explique que les données ont été dérobées fin 2014 par un ou plusieurs pirates qui auraient été « soutenus par un État » affirme-t-elle. Yahoo n'avance par contre aucune preuve ou explication pour corroborer ses dires.
Des informations en clair, des empreintes de mots de passe
Concernant les données dérobées, la liste est également assez impressionnante puisqu'il est question des noms, adresses email, numéro de téléphone, date de naissance, empreinte (hash) de mot de passe (en majorité via bcrypt, selon la société), mais aussi des questions de sécurité et les réponses associées. Problème supplémentaire, ces dernières n'étaient pas toujours chiffrées. Yahoo précise que « l'enquête en cours suggère » qu'aucun mot de passe non protégé n'a été dérobé, pas plus que les informations bancaires qui étaient stockées dans un autre système.
L'éditeur informe évidemment ses utilisateurs potentiellement touchés par email (dont voici une copie en PDF) et leur demande de changer leur mot de passe sans attendre, y compris sur des sites tiers où le même a été réutilisé. Il conviendra également de faire de même avec les questions de sécurité si les mêmes ont été utilisées sur d'autres services. Par prudence, tous les utilisateurs de Yahoo qui n'ont pas changé ces informations depuis 2014 devraient le faire sans attendre.
Si vous êtes à la recherche d'un bon mot de passe, sachez que nous avons consacré un dossier à cette problématique. Nous avons également mis en ligne un dossier sur des gestionnaires de mots de passe : 1Password, Dashlane et KeePass pour le moment.
Verizon étudie l'impact de cette annonce
Cette histoire pourrait avoir d'autres répercussions, notamment sur le rachat de son activité Internet par Verizon pour 4,8 milliards de dollars. Dans un communiqué transmis à plusieurs de nos confrères, dont le Financial Time, l'opérateur explique qu'il n'a été informé de cette brèche qu'il y a deux jours (le rachat a été signé en juillet) et qu'il a pour le moment « des informations et une compréhension limitées de l'impact » de cette fuite de données.
« Nous évaluerons la situation à travers le prisme des intérêts globaux de Verizon pendant que l'enquête se poursuit » ajoute le groupe, qui se refuse pour le moment à tout autre commentaire. Toujours selon nos confrères, Yahoo pourrait payer jusqu'à 145 millions de dollars de frais si la rupture du contrat devait intervenir. Cette histoire n'est donc pas encore terminée.