Yahoo enchaine les mauvaises nouvelles. Après la fuite de données personnelles sur 500 millions de comptes fin 2014, la société explique aujourd'hui qu'un autre vol a eu lieu un an et demi plus tôt (août 2013). Cette fois-ci, ce sont plus d'un milliard de comptes utilisateurs qui ont été touchés.
Mi-septembre, Yahoo confirmait avoir subi fin 2014 un vol de données personnelles sur plus de 500 millions de comptes. Les mauvaises nouvelles s'étaient ensuite enchainées pour la société. En octobre, elle était accusée d'avoir fouillé automatiquement dans les emails de ses clients. Si elle a bien confirmé avoir aidé le FBI, elle affirmait par contre qu'il s'agissait d'une action très ciblée.
En novembre de cette année, on apprenait que la société savait depuis deux ans que ses serveurs avaient été attaqués, par un groupe soutenu par un État. À l'époque, la fuite de données n'avait visiblement pas été détectée et le lien entre les deux n'avait donc pas été établi.
Yahoo double la mise : fuite de données pour un milliard de comptes
Aujourd'hui, la société explique que, « suite à une enquête récente, nous avons identifié des problèmes de sécurité de données personnelles concernant certains comptes utilisateurs ». Combien exactement ? Plus d'un milliard, excusez du peu... Le vol aurait eu lieu par un ou des pirates (non identifiés) en août 2013, soit il y a plus de trois ans.
La société indique qu'elle a reçu ces données des forces de l'ordre, les a analysées et confirme donc qu'elles viennent de ses comptes utilisateurs. Elle n'explique par contre pas pourquoi elle ne s'est rendu compte de rien avant. Dans tous les cas, cet incident est « probablement différent » de celui qui a été dévoilé en septembre dernier et dont le vol remonte à fin 2014.
La fuite de données concerne les noms, adresses email, numéros de téléphone, dates de naissance, mots de passe hachés (MD5, aucun n'est en clair affirme Yahoo) et, dans certains cas, les questions/réponses secrètes. Et pour en rajouter une couche, ces dernières n'étaient pas toujours chiffrées. Ce sont donc exactement les mêmes types d'informations que celles dérobées fin 2014.
Pas d'information bancaire, changement de mot de passe obligatoire pour certains
Les informations bancaires, comme les numéros de carte, ne font pas partie des données dérobées par les pirates. De plus, elles étaient stockées sur des serveurs différents affirme Yahoo.
Bien évidemment, la procédure standard a été enclenchée : les utilisateurs concernés sont informés par email et ils ont l'obligation de changer leur mot de passe. Les questions/réponses secrètes non chiffrées ont été révoquées et ne permettent donc plus d'accéder à un compte. Par mesure de précaution, il faudra également changer les mots de passe et les questions/réponses que vous avez réutilisés sur d'autres services, ce qui n'est jamais une bonne idée.
Pour rappel, nous avons récemment publié un dossier sur les gestionnaires de mots de passe, pratique pour ne pas avoir à en retenir un différent par service. Pour ceux qui préfèrent ne pas les confier à une application tierce, nous vous proposons un guide sur les règles à connaitre pour choisir un bon mot de passe.
Le code source de Yahoo étudié pour détourner des cookies
La société en profite pour revenir sur un incident que nous avons déjà évoqué : le détournement de cookies pour accéder à des comptes sans avoir besoin de saisir un mot de passe. « Selon notre enquête en cours, nous croyons qu'une tierce partie non autorisée a accédé à notre code propriétaire afin d'apprendre comment falsifier les cookies » explique Yahoo.
Toujours selon l'enquête, « une partie » au moins de ce piratage est attribuée au même groupe soutenu par un État (dont le nom n'est toujours pas précisé) qui est responsable du vol des données annoncées en septembre de cette année. Les comptes affectés ont été identifiés, les cookies révoqués et leur propriétaire informés de la situation.
Bref, Yahoo navigue en eaux troubles depuis plusieurs mois maintenant, ce qui complique évidemment son possible rachat par Verizon. Ce dernier n'excluait pas d'y renoncer, mais aucune décision ne semble avoir été prise pour le moment.
Commentaires (76)
#1
Delete.
#2
Delete
#3
J’ai un compte chez Yahoo. Heureusement depuis 2014 j’ai changé de mot de passe et mis la double authent…
#4
1 milliard, çà commence à faire du monde…
#5
La vache, je ne sais pas comment on peut encore garder des comptes mails chez eux.
" />
#6
en fait c’est une stratégie pour faire croire qu’ils ont plein d’users et gonfler le prix de vente 
" />
#7
#8
#9
Moi je ne sais toujours pas comment Yahoo arrive encore à être coté en bourse.
#10
Lol.
Vous pleurez parce que la, vous savez que les comptes ont ete piratés. Et encore, c’etait il y a 3 ans, et il n’y a pas eu de seisme.
Imaginez un peu les “grosses entreprises cotees en bourse” qui se sont fait hacker mais pour lesquelles ni elles ni vous n’en avez connaissance.
#11
Mots de passe hachés en MD5 ? Punaise, MD5 et sans salage, autant avoir les mots de passe en clair, c’est pareil…
#12
C’est Verizon qui se frotte les mains
Après j’adore la communication, “bon on n’a rien vu depuis 3 ans, on sait rien mais par contre c’est le même groupe soutenu par un gouvernement qui nous a attaqué”
J’ai du mal à y croire
#13
LA vrai question c’est Verizon en pense quoi de sa futur acquisition. Ca commence à faire de sacrer casserole à consolider mine de rien !
#14
Post avant avalanche de “yahoo ça existe encore ?” : bah oui la preuve
" />
#15
3 ans ? Sont réactifs les équipes sécu chez Yahoo dis donc…
" />
#16
#17
Elle n’explique par contre pas pourquoi elle ne s’est rendu compte de rien avant.
Autre tournure de phrase : « Elle n’explique par contre pas pourquoi elle n’a rien dit avant. »
#18
Le Miyard, le myiard !!!
" />
#19
#20
Ce sont les “bienfaits” de la centralisation du Web. D’un autre côté il est vrai que c’est assez compliqué de gérer son propre serveur mail à cause des sauvegardes, bien que la chose me tente.
#21
Et bien sur c’est un stagiaire qui s’amusait a analyser de vieux logs d’il y a 3 ans qui en a fait la découverte par hazard, il n’y a eu aucune volonté de leur part de garder cette information secrete.
#22
C’est pas de sa faute, il a confondu avec son caviste…
#23
Tous mes comptes y sont et cela va me couter du temps pour aller ailleurs et changer tout ça.
" />
Et maintenant c’est super bien sécurisé !
#24
doit y avoir un paquet des comptes poubelle et de compte générés par des bots, c’est pas possible!
" />
#25
compte supprimé depuis la dernière annonce déjà…
#26
#27
Marissa se frotte les mains : yahoo ne sera jamais vendu et elle conservera son poste.
#28
#29
#30
#31
Qui ne perdrais pas la tête entre tout ses saints
#32
Le plus étonnant c’est qu’il y avait 1 milliard de personnes chez yahoo
" />
A moins d’avoir piraté les comptes d’il y a 10 ans et les suppressions avec?
#33
Non non, Saint Nicolas est le saint patron de ceux qui arrêtent la politique !
" />
#34
#35
#36
#37
Le plus amusant, c’est que lorsque l’on se connecte via le webmail (oui, j’ai encore un compte :-/), ils vous disent “vous disposez encore de moyens d’accès non sécurisés, voulez vous les désactiver”. Comprendre par là, vous accédez à votre compte en imap et on préfèrerait que vous passiez par l’interface web pour vous manger un max de pub. L’ironie est que si l’attaque a bien eu lieue en forgeant des cookies, alors il vaut mieux accéder à son mail par imap/pop (en vérifiant qu’on a bien configuré la connexion en TLS) et abandonner l’interface web ! ;-)
L’autre chose amusante est qu’ils ne doivent pas connaître le principe de Kerckchoffs si l’analyse de leur code source permet de forger des cookies valides. :-/
#38
Merde, c’est mon ancienne adresse de redirection… Ces putn de sites qui n’acceptes pas les domaines personnalisé… Si t’as pas @yahoo.com @gmail.com ou un truc connu tu ne peux pas t’inscrire… Bon, je pense que je vais quand même m’arranger pour virer les derniers endroits où elle est utilisée et couper le compte.
#39
Pour les alternatives, tu as quand même ovh, netcourrier, installer ton propre serveur à la maison (approuvé par clinton), la poste, yandexmail, startmail, mailfence…
#40
Moi j’ai tout migré sous protonmail avec double mot de passe et authentification OTP et depuis j’ai moins peur pour mes données personnelles ou médicales…!
#41
Allez continuez esclaves , mettez TOUTES vos données , VOS VIES dans nos Cloud … vous l’aurez bientôt dans le cloud.
" />
#42
Non c ‘est peux , juste 1⁄7 de la population mondiale !
Et cela ne révolte et choque personne .. c’est ça l’info. la plus dingue !!!
Un jour il y aura une info. du type “le saviez-vous il y a 7 milliards d’idiots dociles et utiles … mais rassurez-vous il reste 500.000 individus qui eux ont compris !”
.. et tout le monde s’en foutra encore ….
#43
“Le vol aurait eu lieu par un ou des pirates (non identifiés) en août 2013, soit il y a plus de trois ans.”
" />
J’espère qu’aux USA du moins, une “class action” va être lancée, car se foutre à ce point de ses clients, ça vaut bien ça …!
C’est quand même sidérant le nombre de grosses boites qui se font pirater, la plupart du temps à cause de grosses négligences (la sécurité a un coût …) de leur part, et qui jurent la main sur le cœur, que la sécurité de leurs clients/abonnés, est la première de leurs préoccupations …
Le rachat de Yahoo par Verizon pour 4.8 Mds de $ n’étant pas encore finalisé, on se doute bien que Yahoo a tout intérêt à planquer ce genre de détails sous le tapis, histoire que le cours en bourse ne chute pas trop et ne fasse ainsi baisser l’offre de Verizon, si tant est que celle-ci soit maintenue …
#44
“La société indique qu’elle a reçu ces données des forces de l’ordre, les a analysées et confirme donc qu’elles viennent de ses comptes utilisateurs. Elle n’explique par contre pas pourquoi elle ne s’est rendu compte de rien avant. Dans tous les cas, cet incident est « probablement différent » de celui qui a été dévoilé en septembre dernier et dont le vol remonte à fin 2014.”
On appelle cela “Ghost in the shell” dans le milieu … et ça touche plus de 90% des SI, et on ne pourra pas changer la donne, quand 99 % des données des individus mondial seront numérisées (santé, argent, vie “privée”, passé, etc) : les choses sérieuses vont commencer !
Aurevoir.
#45
… pfff mais non prends un truc à TRiple authentification tu passeras plus de temps à accéder à tes données qu’à faire un baiser à ta petit copine !
#46
“7 Milliard d’abrutis, découvrez les 10 qui ont tout compris, le 7ème va vous étonner !”
#47
#48
Elle est dans une panic room qui est dans un abri anti atomique qui est dans un bunker, donc non… 
" />
" />
Moi parano ? Absolument pas…!
#49
#50
#51
on appelle cela les changement de contexte sur un CPU !
" />
… cela a permis d’accéder au os multitâches ….
#52
#53
#54
#55
#56
#57
#58
#59
Je ne sais pas dire, honnêtement. J’utilise netcourrier à titre personnel.
Déjà je recommande d’utiliser PGP au maximum pour échanger des mails, après quelle que soit la plate-forme, un risque de piratage/vol d’information de celle-ci est toujours possible, malheureusement. Peut-être essayer de ne pas envoyer pas courriel “normal” les photos de carte d’identité/carte bancaire/codes confidentiels…
#60
Le délai est tellement long qu’ils ont probablement eu le temps de revendre toutes les données, obtenir les mdp en clair , faire une liste de tous les comptes liés à chaque email et récupérer ces derniers quand ils utilisent le même mdp que le compte Yahoo. Bravo
" />
#61
#62
#63
#64
En l’occurrence ici c’est un progrès de pouvoir en quelques clics créer facilement et gratuitement un espace de stockage en ligne et accessible partout. Tout le monde peut le faire, ce n’est plus réservé à une élite capable de mettre en réseau leur propre serveur. Le contraire du progrès est la régression, je ne vois pas où elle est dans ce cas précis.
Puis c’est sans compter les avantages, par exemple sur la possible perte des données. Bon courage pour arriver à une fiabilité équivalente de celle proposée par les GAFAM avec ton petit NAS maison.
#65
J’ai uniquement une adresse poubelle chez eux, avec un faux nom et faux prénom, notamment pour m’inscrire sur les sites et forums qui l’exigent. Aucune inquiétude alors !
#66
Mais clair…
Si ce genre de news pouvait faire réfléchir certains de mes clients qui ne veulent plus que du cloud 365 et autres conneries…
#67
#68
Perso je suis passé à Fastmail et je paie pour ce service
#69
#70
On dirait qu’il y a vraiment des réticences de la part des développeurs à bien protéger les mots de passe des utilisateurs. C’est curieux (genre l’utilisation du md5 voire plain text, limitation à 8 caractères, impossibilité d’utiliser des caractères “spéciaux” …).
" />
Quand je vois que même des développeurs réputés sérieux, comme ceux du projet GNU, stockent les mots de passe en clair dans Mailman (gestionnaire de listes de diffusion très utilisé), il y a vraiment de quoi se poser des questions.
#71
D’un point de vu purement élitiste et technique ça confirme bien une régression du niveau des utilisateurs puisque plus besoin de s’y connaître pour arriver au “même” résultat.
Mais sorti de cette vision élitiste et technique il y a encore a redire sur l’approche qu’ont les utilisateurs non formé sur le caractère critique et/ou confidentiels des données stockées, la comparaison d’un NAS maison et d’un système tout fait proposé par google est une mise en évidence du progrès uniquement pratique proposé.
Demande a l’utilisateur lambda ce qui est important dans sa machine, la plupart du temps il te répondra “tout” ou “rien”, si il est plus pointu il te répondra “ça et ça”.
Le fait est ,la plupart du temps, qu’il a sur son support plus que ce qu’il considère comme important.
Ça veut dire qu’il conserve des données a degré de confidentialité varié de manière injustifié.
Le fait que ça soi en ligne et accessible de partout peut-il être considéré comme un progrès pour lui même?
L’exemple parfait c’est la photocopie de carte d’identité qui traîne , quasi inutile pour le propriétaire mais avec un potentiel d’emmerde en cas de divulgation plutôt sympa.
Après on peut dire “oui mais faut pas être trop con et faire le tri” ce qui revient aussi a une forme d’élitisme…
Quand on réfléchi a un moyen technique on regarde différents aspects qui font souvent prendre conscience de notre dépendance envers ce moyen , et même quand techniquement c’est un échec cette réflexion n’est un mal pour personne AMHA.
#72
Je n’ai beau ne pas être Mme Michu (la preuve je suis ici!), j’ai mon compte mail principal en Yahoo. J’étais déjà dans les piratages de la précédente série et visiblement encore dans la dernière fournée.
Je n’ai pas eu à changer de mot de passe, mais je l’avais fait auparavant, ainsi que double authentification.
Pour l’instant j’ai supprimé tout mail qui s’appelait RIB ou CNI…
C’est un premier point, pas du tout suffisant.
Me suis créé un mail protonmail, mais migrer tous mes services habituels dessus va être très long. Encore les magasins en ligne c’est faisable, mais les gens à qui je dois demander de changer de mail, c’est pas gagné !
Je ne sais pas exactement combien de mot de passe j’ai, mais en regardant dans keepass j’ai 457 entrées. Bon tout n’est pas un accès à une boutique en ligne, je sauvegarde aussi des choses comme des codes wifi. Mais j’ai au moins 200 inscriptions depuis la création de mon compte il y a 10 ans, quasi tous associés à ce mail yahoo…
#73
Je reste chez eux par flemme. Ça fait des années que je râle contre leur webmail pourri et pourtant…la flemme.
#74
#75
Là tu critiques plus l’usage qui en est fait plutôt que l’outil en lui-même. Les inconscients qui vont balancer leur vie entière en ligne ça existe depuis la démocratisation d’internet, ce n’est pas quelque chose de nouveau. Il ne faut pas de formation informatique pour comprendre que publier des données critiques dans tous les data centers du globe c’est complètement idiot. Faut juste du bon sens.
Par contre pour mettre en place l’équivalent d’un espace GDrive maison, il faut un minimum de connaissance, chose qui demande du temps et un investissement que tout le monde n’a pas forcément envie de faire.
Et pour répondre à ta question, oui le fait d’avoir des fichiers accessibles n’importe où et synchronisés automatiquement entre tous mes appareils est un énorme progrès. Ca me facilite la vie et surement celle de beaucoup de monde. Juste un exemple comme ça parmi tant d’autres. Je prends une photo avec mon smartphone, je l’upload et la seconde suivante elle se retrouve à la fois accessible sur mon ordi de bureau et ma tablette. Je lance une appli d’edition photo, je corrige quelque défauts, j’enregistre. La seconde suivante les modifications se synchronisent partout.
Tout ça reste évidemment faisable avec sa petite tambouille maison mais pour au final quel résultat ? Si tu rends visible ton serveur/nas en dehors de ton réseau local tu t’exposes aux mêmes risques qu’un simple compte gdrive/onedrive.
#76
aujourd’hui Yahoo et demain ce sera qui ?