Yahoo expédie actuellement à certains utilisateurs des renseignements supplémentaires au sujet de la dernière brèche dans ses données. Certains comptes pourraient ainsi avoir été piratés pas plus tard que l’année dernière, donnant une autre dimension à l’attaque.
Yahoo a fort à faire pour se dépêtrer d’une situation relativement déplorable sur le plan de la sécurité. Après avoir confirmé dans un premier temps une fuite de données sur environ 500 millions de comptes, une autre avait été révélée, cette fois sur un milliard de comptes. À peine trois mois s’étaient écoulés entre les deux annonces, Yahoo précisant dans les deux cas que les données étaient « anciennes », c’est-à-dire remontant à 2013. Dans la pratique, ce n’est pas forcément le cas.
Des données de 2015 ou 2016
Des utilisateurs Yahoo reçoivent en effet depuis hier des emails leur offrant des détails supplémentaires. Joshua Plotkin, professeur de biologie à l’université de Pennsylvanie, a publié hier soir une capture de ce courrier, dans laquelle on peut lire : « nous pensons qu’un cookie falsifié pourrait avoir été utilisé en 2015 ou 2016 pour accéder à votre compte ».
Le modus operandi n’est en lui-même pas nouveau. On apprenait ainsi en novembre dernier, via un rapport remis à la SEC (Securities and Exchange Commission) que la deuxième attaque avait été possible grâce à l’utilisation de cookies falsifiés. Ces derniers avaient été créés via un outil appartenant à Yahoo, dérobé lors d’une attaque précédente. Ils sont spécialement conçus pour permettre un accès aux comptes sans réclamer le moindre mot de passe.
Yahoo ne donne pas le nombre de personnes concernées
Mais si l’attaque est connue, les conséquences ne sont pas pour l’instant pas entièrement cernées. Lors de l'annonce de la seconde brèche, tout portait à croire en effet que les comptes n’avaient pu laisser fuiter que de vieilles informations, selon Yahoo.
Si les cookies falsifiés ont été utilisés en 2015 et 2016 (aucun mois n’est précisé), la portée de l’attaque change : pas sur le nombre de comptes, mais sur la durée. Joshua Plotkin indique de son côté que son compte n’était utilisé que pour des emails pratiquement considérés comme du spam, mais ce n’est pas le cas de tout le monde.
Yahoo a quoi qu’il en soit notifié à Associated Press que ces emails étaient bel et bien envoyés aux utilisateurs concernés actuellement. Le porte-parole n’a pas donné de détails supplémentaires, en particulier sur le nombre victimes touchées par cet aspect plus récent. Un silence sur une information importante qui pourrait s’expliquer par un contexte très difficile pour l’entreprise.
La question du rachat par Verizon
Rappelons en effet qu’elle doit être rachetée par Verizon. Une annonce qui date de juillet 2016 et qui porte sur un montant de 4,83 milliards de dollars. Les annonces sur les brèches de sécurité ont provoqué de nombreux remous et déclenché des rumeurs sur une offre revue à la baisse. Or, alors que le Sénat américain demande des comptes à Yahoo, de nouveaux bruits de couloir apparaissent : selon Bloomberg, Verizon s’apprêterait à proposer une offre révisée, plus faible de 250 à 350 millions de dollars.
Pour ceux qui chercheraient actuellement à fermer leur compte Yahoo, notez que cette possibilité n’est pas directement disponible depuis les paramètres. Il faut passer par une procédure spécifique, disponible depuis cette page.
Commentaires (11)
#1
Yahoo, c’est un peu comme François Fillon. On en apprend tous les jours.
" />
#2
#3
Leur responsable sécurité était aussi un emploi fictif ?
" />
#4
Non j’ai rien a dire sur la news si ce n’est no comment, mais ce commentaire m’a fait sourire !
#5
Dans deux mois, nous aurons une actualité nous disant que le nombre de mails utilisés par Yahoo n’a pas diminué suite à ces révélations, et que donc Yahoo se porte bien. Et qu’il vaut toujours 4 milliards de dollar.
" />
" />
" /> à Darkbeast pour son commentaire !
En pratique j’imagine que les gens font comme moi, ils se créent un mail alternatif et font une migration progressive. Perso pas certain que je ferme mon compte tellement je l’ai utilisé partout en compte principal… Mais les mails importants, ceux que l’on consulte régulièrement ne sera plus @yahoo.
Sinon
#6
J’avais 4 comptes chez yahoo (yahoo / ymail/ rocketmail); je les ai tous fermés…. De toutes manières ils ne me servaient plus ou voir même jamais servi
" />. Donc aucun problème pour “migrer” tout ça.
#7
#8
#9
Si tu n’as pas de bol, tu as quitté un service qui a drastiquement renforcé sa sécurité depuis, pour un autre qui, pas encore touché par de telles affaires, a une sécurité moindre :-p
#10
Une personne de mon entourage s’est vu son accès à Yahoo disparaitre aujourd’hui (son mail ne fonctionne plus depuis ce matin) pensez-vous que cela soit lié?Ou il n’y a pas eu de fuite de mot de passe?
#11
pitié je veux revenir chez yahoo; siouplait c’était une erreur de ma part
J’ai ouvert du protonmail et du tutanota… il y a mieux mais pour 3 mail par an ça devrait le faire.