Yahoo : piratage des données d’un milliard de comptes utilisateurs

Le mois dernier, les forces de l’ordre ont attiré l’attention de l’entreprise sur des données qui appartenaient censément à des utilisateurs de Yahoo. Suite à une enquête, il a été confirmé que les données faisaient effectivement partie de la base de données de Yahoo, dérobée en août 2013.

À ce jour, l’entreprise n’a pas identifié les coupables ni leur méthode d’attaque et estime que cette violation est distincte de celle confirmée le 22 septembre 2016 et qui avait touché quelque 500 millions de comptes en 2014. Les attaquants ont utilisé des cookies contrefaits afin d’accéder aux comptes sans mots de passe, mais ceux-ci ont été invalidés. Les questions de sécurité non cryptées ainsi que leurs réponses ont été désactivées afin que les pirates ne puissent pas accéder aux comptes. Tous les utilisateurs qui pourraient être concernés sont invités à changer leurs mots de passe.

« Les informations de comptes utilisateurs volées pouvaient inclure des noms, des adresses e-mail, des numéros de téléphone, des dates de naissance, des mots de passe hachés (avec MD5) et, dans certains cas, des questions et des réponses de sécurité cryptées ou non cryptées », a écrit Bob Lord, responsable de la sécurité des systèmes d’information de Yahoo, dans son e-mail adressé à tous les détenteurs de compte. « Tous ces éléments d’information ne figuraient pas nécessairement dans votre compte. L’enquête a révélé que les mots de passe en texte clair, les données de cartes de paiement et les coordonnées bancaires ne faisaient pas partie des informations dérobées. Les données de cartes de paiement et les coordonnées bancaires ne sont pas stockées dans le système dont nous pensons qu’il a été affecté. »

Yahoo assure les utilisateurs de ses efforts visant à protéger le système et à prévenir les accès non autorisés. Entre-temps, les détenteurs de compte sont invités à changer sans tarder leurs mots de passe ainsi que leurs questions et réponses de sécurité pour Yahoo et pour les autres comptes qui utilisent également ces informations, à contrôler avec soin l’absence d’activités suspectes, à s’abstenir de répondre aux e-mails suspects sollicitant des informations personnelles et à éviter de cliquer sur des liens ou de télécharger des pièces jointes provenant de sources inconnues.