Yahoo: imbroglio sur le nombre exact de comptes volés

Combien d'identifiants Yahoo sont finalement dans la nature? A l'heure actuelle, il est difficile de le savoir avec précision. La semaine dernière, le portail a confirmé avoir été victime d'un vol de 500 millions d"identifiants de comptes. Cette révélation est arrivée un mois après qu'un pirate nommé "Peace" a mis en vente 200 millions d'identifiants de comptes Yahoo sur le Dark Web. Or, "faire l'amalgame de ces deux évènements est incorrect", vient de confirmer Yahoo auprès du site DarkReading.

Cela veut dire que les 500 millions d'identifiants volés sur les serveurs de Yahoo n'ont, à priori, rien à voir avec les 200 millions d'identifiants en vente sur le Dark Web. La provenance de ces derniers reste pour l'instant inconnue. Ont-ils été volés sur les serveurs de Yahoo? Ont-ils été obtenus au travers d'un malware? Mystère.

Il semblerait néanmoins que la base de "Peace" soit plus ancienne. Auprès de Motherboard, le pirate estimait que sa marchandise datait "probablement de 2012", alors que le piratage révélé par Yahoo a été réalisé en 2014. Cela est assez cohérent avec les technologies cryptographiques utilisées. Les mots de passe de la base de "Peace" sont chiffrés selon l'algorithme MD5, qui est plutôt faible. Les mots de passe volés en 2014 s'appuyaient sur l'algorithme Bcrypt, qui est nettement plus fort.

Pour autant, on ne sait pas si les deux bases se recoupent en partie. Il se pourrait donc que le nombre total de victimes ne soit pas 500 millions mais 700 millions. Espérons que Yahoo puisse bientôt éclairer ce point, pour le bien de ses utilisateurs.