Yahoo enchaine les mauvaises nouvelles. Après la fuite de données personnelles sur 500 millions de comptes fin 2014, la société explique aujourd'hui qu'un autre vol a eu lieu un an et demi plus tôt (août 2013). Cette fois-ci, ce sont plus d'un milliard de comptes utilisateurs qui ont été touchés.
Mi-septembre, Yahoo confirmait avoir subi fin 2014 un vol de données personnelles sur plus de 500 millions de comptes. Les mauvaises nouvelles s'étaient ensuite enchainées pour la société. En octobre, elle était accusée d'avoir fouillé automatiquement dans les emails de ses clients. Si elle a bien confirmé avoir aidé le FBI, elle affirmait par contre qu'il s'agissait d'une action très ciblée.
En novembre de cette année, on apprenait que la société savait depuis deux ans que ses serveurs avaient été attaqués, par un groupe soutenu par un État. À l'époque, la fuite de données n'avait visiblement pas été détectée et le lien entre les deux n'avait donc pas été établi.
Yahoo double la mise : fuite de données pour un milliard de comptes
Aujourd'hui, la société explique que, « suite à une enquête récente, nous avons identifié des problèmes de sécurité de données personnelles concernant certains comptes utilisateurs ». Combien exactement ? Plus d'un milliard, excusez du peu... Le vol aurait eu lieu par un ou des pirates (non identifiés) en août 2013, soit il y a plus de trois ans.
La société indique qu'elle a reçu ces données des forces de l'ordre, les a analysées et confirme donc qu'elles viennent de ses comptes utilisateurs. Elle n'explique par contre pas pourquoi elle ne s'est rendu compte de rien avant. Dans tous les cas, cet incident est « probablement différent » de celui qui a été dévoilé en septembre dernier et dont le vol remonte à fin 2014.
La fuite de données concerne les noms, adresses email, numéros de téléphone, dates de naissance, mots de passe hachés (MD5, aucun n'est en clair affirme Yahoo) et, dans certains cas, les questions/réponses secrètes. Et pour en rajouter une couche, ces dernières n'étaient pas toujours chiffrées. Ce sont donc exactement les mêmes types d'informations que celles dérobées fin 2014.
Pas d'information bancaire, changement de mot de passe obligatoire pour certains
Les informations bancaires, comme les numéros de carte, ne font pas partie des données dérobées par les pirates. De plus, elles étaient stockées sur des serveurs différents affirme Yahoo.
Bien évidemment, la procédure standard a été enclenchée : les utilisateurs concernés sont informés par email et ils ont l'obligation de changer leur mot de passe. Les questions/réponses secrètes non chiffrées ont été révoquées et ne permettent donc plus d'accéder à un compte. Par mesure de précaution, il faudra également changer les mots de passe et les questions/réponses que vous avez réutilisés sur d'autres services, ce qui n'est jamais une bonne idée.
Pour rappel, nous avons récemment publié un dossier sur les gestionnaires de mots de passe, pratique pour ne pas avoir à en retenir un différent par service. Pour ceux qui préfèrent ne pas les confier à une application tierce, nous vous proposons un guide sur les règles à connaitre pour choisir un bon mot de passe.
Le code source de Yahoo étudié pour détourner des cookies
La société en profite pour revenir sur un incident que nous avons déjà évoqué : le détournement de cookies pour accéder à des comptes sans avoir besoin de saisir un mot de passe. « Selon notre enquête en cours, nous croyons qu'une tierce partie non autorisée a accédé à notre code propriétaire afin d'apprendre comment falsifier les cookies » explique Yahoo.
Toujours selon l'enquête, « une partie » au moins de ce piratage est attribuée au même groupe soutenu par un État (dont le nom n'est toujours pas précisé) qui est responsable du vol des données annoncées en septembre de cette année. Les comptes affectés ont été identifiés, les cookies révoqués et leur propriétaire informés de la situation.
Bref, Yahoo navigue en eaux troubles depuis plusieurs mois maintenant, ce qui complique évidemment son possible rachat par Verizon. Ce dernier n'excluait pas d'y renoncer, mais aucune décision ne semble avoir été prise pour le moment.