Plus d’un milliard de comptes Yahoo ont été exposés après un nouveau piratage. Il s’agit d’une attaque distincte de celle qui a été révélée en septembre.
Yahoo a annoncé aujourd’hui son deuxième plus gros piratage et cela, en l’espace de 3 mois. Dans un article publié sur le compte Tumblr de la société, Bob Lord, le directeur de la sécurité de l’information chez Yahoo, a annoncé qu’en 2013, des données provenant de plus d’un milliard de comptes d’utilisateurs ont été consultées par un tiers non autorisé. Cette révélation survient après que Yahoo a confirmé en septembre que plusieurs centaines de millions de comptes d’utilisateurs ont été affectés par un vol de données séparé.
Yahoo a émis des interrogations sur le hack le mois dernier lorsque les autorités ont fourni à la société des fichiers d’un tiers affirmant qu’il s’agissait d’informations de comptes d’utilisateurs Yahoo. La firme a alors commencé une enquête avec l’aide d’experts forensiques extérieurs, confirmant ainsi qu’il s’agissait en fait des données de ses propres utilisateurs.
Yahoo indique que des données telles que les adresses e-mail, les numéros de téléphone, les dates de naissance, les mots de passe hachés (en utilisant MD5) et, dans certains cas, les questions de sécurité chiffrées ou non chiffrées des comptes touchés, ont été dérobés.
Mais ce qui pourrait être le plus notable concernant ce hack, cependant, est que Yahoo n’a pas encore identifié comment les données ont été volées. « Nous n’avons pas été en mesure d’identifier l’intrusion associée à ce vol », a écrit Lord. Toutefois, Yahoo croit que cette instance est distincte du hack de septembre.
Yahoo indique notifier les utilisateurs potentiellement affectés et prend des mesures pour sécuriser ces comptes. La société a également invalidé les questions/réponses de sécurité non cryptées afin de ne pas pouvoir les utiliser pour accéder à un compte.
Mais, cela s’aggrave. Yahoo a également annoncé aujourd’hui qu’un tiers a utilisé le code source de Yahoo pour créer des cookies pour obtenir la possibilité d’accéder aux comptes d’utilisateurs sans avoir à saisir un mot de passe.
« Selon notre enquête en cours, nous croyons qu’une tierce partie non autorisée a accédé à notre code propriétaire pour apprendre à falsifier les cookies » explique Yahoo.
Inutile de dire que cela n’a rien de valorisant pour Yahoo, qui est en train de conclure un accord d’acquisition avec Verizon. Avec ce nouveau piratage, il parait évident que cela donnera plus de marge de manoeuvre à l’opérateur américain Verizon, qui cherche à réduire le prix d’achat de Yahoo suite aux multiples piratages et à la surveillance des e-mails de millions d’utilisateurs.
Si vous pensez que votre compte a été touché, Yahoo recommande de changer votre mot de passe immédiatement. À ce stade, cependant, il pourrait être judicieux de vous demander simplement si vous avez vraiment besoin d’un compte Yahoo.
