Yahoo confirme le vol de plus de 500 millions d'identifiants

C’est bien pire que prévu. Alors que l’on pensait que Yahoo allait confirmer le vol des 200 millions d’identifiants mis en vente sur le Darkweb début août, c’est finalement de plus de 500 millions d’identifiants dont il est question maintenant. Ce qui en fait le plus grand vol de données jamais réalisé. Jusqu’à présent, la palme allait à MySpace, avec 359 millions d’identifiants dans la nature.

Ces informations auraient été siphonnées sur les serveurs de la firme fin 2014 par des hackers "probablement lié à un Etat", estime Yahoo. Parmi elles figurent des noms d’utilisateur, des mots de passe, des dates de naissance, des adresses électroniques, des numéros de téléphone et des questions de sécurité assorties de leurs réponses. En revanche, aucune information bancaire n’a été subtilisée, souligne Yahoo dans un communiqué.

La bonne nouvelle, c’est que les mots de passe étaient stockés de manière chiffrés au moyen d’un algorithme à priori de bonne qualité (bcrypt). La mauvaise nouvelle, c’est que les questions de sécurité et leurs réponses ne l’étaient pas. Si vous n’avez pas changé de mot de passe depuis 2014, il est donc urgent de le faire. De son côté, Yahoo a désactivé les questions de sécurité des personnes concernées. Celles-ci seront également notifiées individuellement par Yahoo pour les inciter à changer de code secret.

Article publié à 14h54

L'affaire tombe au plus mauvais moment pour l'entreprise, en passe d'être rachetée par Verizon. Début août, un pirate qui se fait appeler "Peace" met en vente plus de 200 millions d'identifiants de comptes Yahoo sur la place de marché underground "The Real Deal". Pour trois bitcoins, soit environ 1600 euros, l'acheteur potentiel récupère une énorme base de données constituée de noms d'utilisateurs, de mots de passe chiffrés, de dates de naissance et, parfois, d'une seconde adresse email. Malheureusement, les mots de passe ne sont apparemment que faiblement chiffrés (algorithme MD5). L'acheteur pourrait donc aisément récupérer la totalité des mots de passe en clair en peu temps.

Lorsque Motherboard révèle cette vente, Yahoo ne fait que prendre note de cet évènement, sans confirmer l'exactitude ou la provenance de ces données. "Notre équipe de sécurité est en train de vérifier les faits", avait simplement dit un porte-parole. Presque deux mois plus tard, le site Recode révèle que cette base serait bel et bien issue d'un piratage des serveurs de la firme américaine. Celle-ci serait d'ailleurs sur le point de confirmer officiellement cet énorme hack. Une communication est prévue d'ici à la fin de la semaine. Selon l'une des sources, celle-ci pourrait même se révéler pire que prévue. Faut-il s'attendre à plus de 200 millions d'identifiants de comptes Yahoo dans la nature?

Manque de réactivité

En tous les cas, l'image de Yahoo risque d'en prendre un coup. Se faire voler des centaines de millions de comptes, ce n'est déjà pas terrible. Attendre presque deux mois pour confirmer un vol de données, c'est encore pire, car pendant tout ce temps les utilisateurs restent vulnérables. Dans ce genre de situation, un acteur du web a intérêt à réinitialiser tous les mots de passe de ses clients le plus vite possible pour limiter les dégâts.

Un tel attentisme s'explique peut-être par le fait que Yahoo est justement sur le point d'être vendu à Verizon pour 4,8 milliards de dollars. Dans ce contexte, le vol de plus de 200 millions d'identifiants de comptes fait clairement tache. La confirmation d'un piratage des serveurs de Yahoo pourrait même remettre en question le montant de la transaction. Ce n'est pas la première fois que Yahoo est victime d'un vol de données. En 2012, un pirate avait réussi à exfiltrer les identifiants de plus de 400.000 utilisateurs du service Voices. Il s'est appuyé pour cela sur une attaque par injection SQL, une technique très connue et assez simple à mettre en œuvre.