Yahoo confirme la fuite de 500 millions de mots de passe

Piratage monstre

Liste de tags

Yahoo a confirmé aujourd’hui avoir été l’objet d’une cyberintrusion ayant compromis la confidentialité de 500 millions de comptes utilisateurs.

Tel que le rapportait ce matin Recode, Yahoo a bel et bien été victime d’un important piratage non dévoilé publiquement. Toutefois, alors que près de 200 millions de noms d’utilisateurs et mots de passe circulaient sur le dark net, l’entreprise a précisé que c’était plutôt les données de 500 millions d’utilisateurs qui auraient ainsi été dérobées. De plus, Yahoo mentionné que l’événement est survenu en 2014, et non en 2012, contrairement à ce qui a été précédemment rapporté.

Yahoo aurait été soumise à un certain nombre d’incidents par le passé qui auraient été mal gérés par la PDG, Marissa Mayer.

«Nous avons confirmé qu’une copie de certaines informations de comptes utilisateurs a été dérobée sur le réseau de l’entreprise vers la fin de 2014, dans ce qui nous apparaît comme une attaque parrainée par un gouvernement», a déclaré Bob Lord, responsable de la sécurité des systèmes d’information chez Yahoo.

«Les informations de comptes pourraient inclure les noms, adresses courriel, numéros de téléphone, dates de naissance, mots de passe hachés (la grande majorité avec bcrypt) et, dans certains cas, les questions et réponses de sécurité, cryptées ou non. L’enquête en cours suggère que l’information volée ne comprend pas de mots de passe non protégés, de données de cartes de paiement, ou d’informations sur des comptes bancaires.»

«Selon l’enquête en cours, Yahoo estime que l’information associée à au moins 500 millions de comptes utilisateurs a été dérobée et l’enquête n’a trouvé aucune preuve que l’acteur parrainé par un état est actuellement dans le réseau de Yahoo. Yahoo travaille en étroite collaboration avec les forces de l’ordre à ce sujet.»

La nouvelle a bien entendu d’importantes conséquences sur la vente des activités Internet de Yahoo au géant américain des télécommunications Verizon, dont la transaction est estimée à 4,8 milliards de dollars US. Verizon a d’ailleurs publié la déclaration suivante à ce sujet :

«Au cours des deux derniers jours, nous avons été informés de l’incident de sécurité chez Yahoo. Nous comprenons que Yahoo mène actuellement une enquête sur la situation, mais nous n’avons que peu d’information sur le sujet et de compréhension sur les impacts [de cet incident]. Nous évaluerons la situation alors que l’enquête suit son cours en gardant à l’œil les intérêts globaux de Verizon, incluant ceux des consommateurs, des actionnaires, et des communautés connexes. D’ici là, nous ne sommes pas en mesure de faire d’autres commentaires.»

Qui plus est, selon des sources internes de Yahoo qui se sont confiées à Recode, l’entreprise aurait été soumise à un certain nombre d’incidents par le passé qui auraient été mal gérés par la PDG, Marissa Mayer. L’ancien responsable de la sécurité des systèmes d’information, Alex Stamos, aurait d’ailleurs tenté avec insistance de faire en sorte que la direction réagisse plus promptement à l’époque, sans succès.

Stamos a depuis quitté Yahoo l’an dernier pour devenir de chef de la sécurité de Facebook.

  • bibousiq

    Je me demande vraiment pourquoi toutes ces brèches de sécurité n’ont pas été révélées auparavant

  • r2d3

    il est temps de fouetter ces entreprises qui exigent des informations sans les encrypter. Un recours collectif pour dédommager les utilisateurs.

    • http://branchez-vous.com/ Laurent LaSalle

      Sauf qu’ici, les mots de passe étaient cryptés. Certains avec md5 (qui n’ont manifestement mis à jour), et d’autres avec bcrypt (plus récent et sécuritaire). On dirait que Yahoo n’a simplement pas renforcé rétroactivement les données de ses utilisateurs toutefois.

  • Gumby

    Je n’ai qu’un compte bidon avec de fausses informations chez Yahoo, Ça me fait dire que je fais bien de ne pas saisir mes informations réels sur la très grande majorité des sites que je fréquente. Il est plus difficile de voler mon identité…