Yahoo expédie actuellement à certains utilisateurs des renseignements supplémentaires au sujet de la dernière brèche dans ses données. Certains comptes pourraient ainsi avoir été piratés pas plus tard que l’année dernière, donnant une autre dimension à l’attaque.
Yahoo a fort à faire pour se dépêtrer d’une situation relativement déplorable sur le plan de la sécurité. Après avoir confirmé dans un premier temps une fuite de données sur environ 500 millions de comptes, une autre avait été révélée, cette fois sur un milliard de comptes. À peine trois mois s’étaient écoulés entre les deux annonces, Yahoo précisant dans les deux cas que les données étaient « anciennes », c’est-à-dire remontant à 2013. Dans la pratique, ce n’est pas forcément le cas.
Des données de 2015 ou 2016
Des utilisateurs Yahoo reçoivent en effet depuis hier des emails leur offrant des détails supplémentaires. Joshua Plotkin, professeur de biologie à l’université de Pennsylvanie, a publié hier soir une capture de ce courrier, dans laquelle on peut lire : « nous pensons qu’un cookie falsifié pourrait avoir été utilisé en 2015 ou 2016 pour accéder à votre compte ».
Le modus operandi n’est en lui-même pas nouveau. On apprenait ainsi en novembre dernier, via un rapport remis à la SEC (Securities and Exchange Commission) que la deuxième attaque avait été possible grâce à l’utilisation de cookies falsifiés. Ces derniers avaient été créés via un outil appartenant à Yahoo, dérobé lors d’une attaque précédente. Ils sont spécialement conçus pour permettre un accès aux comptes sans réclamer le moindre mot de passe.
Yahoo ne donne pas le nombre de personnes concernées
Mais si l’attaque est connue, les conséquences ne sont pas pour l’instant pas entièrement cernées. Lors de l'annonce de la seconde brèche, tout portait à croire en effet que les comptes n’avaient pu laisser fuiter que de vieilles informations, selon Yahoo.
Si les cookies falsifiés ont été utilisés en 2015 et 2016 (aucun mois n’est précisé), la portée de l’attaque change : pas sur le nombre de comptes, mais sur la durée. Joshua Plotkin indique de son côté que son compte n’était utilisé que pour des emails pratiquement considérés comme du spam, mais ce n’est pas le cas de tout le monde.
Yahoo a quoi qu’il en soit notifié à Associated Press que ces emails étaient bel et bien envoyés aux utilisateurs concernés actuellement. Le porte-parole n’a pas donné de détails supplémentaires, en particulier sur le nombre victimes touchées par cet aspect plus récent. Un silence sur une information importante qui pourrait s’expliquer par un contexte très difficile pour l’entreprise.
La question du rachat par Verizon
Rappelons en effet qu’elle doit être rachetée par Verizon. Une annonce qui date de juillet 2016 et qui porte sur un montant de 4,83 milliards de dollars. Les annonces sur les brèches de sécurité ont provoqué de nombreux remous et déclenché des rumeurs sur une offre revue à la baisse. Or, alors que le Sénat américain demande des comptes à Yahoo, de nouveaux bruits de couloir apparaissent : selon Bloomberg, Verizon s’apprêterait à proposer une offre révisée, plus faible de 250 à 350 millions de dollars.
Pour ceux qui chercheraient actuellement à fermer leur compte Yahoo, notez que cette possibilité n’est pas directement disponible depuis les paramètres. Il faut passer par une procédure spécifique, disponible depuis cette page.
