Après avoir révélé la compromission de 500 millions de comptes en septembre, puis celle de près d’un milliard de données en décembre dans le cadre de cyberattaques, Yahoo alerte aujourd’hui ses utilisateurs de nouveaux piratages.
Avis d’expert Avast – Des cookies falsifiés auraient en effet permis des accès non autorisés à leurs comptes, sans aucun mot de passe, entre 2015 et 2016. L’entreprise américaine a également indiqué qu’une partie de l’activité de ces faux cookies aurait un lien avec un groupe mandaté par un Etat – non identifié à ce jour – mais présumé responsable de la compromission dévoilée en septembre dernier.
Filip Chytrý, Manager and Security Expert, Threat Intelligence chez Avast, explique comment les hackers se servent des cookies falsifiés pour perpétrer leurs attaques :
Les cookies falsifiés permettent aux cybercriminels de faire passer une fausse page web ou une publicité comme étant affiliée à un serveur officiel, qui demande ensuite les identifiants de l’utilisateur final déjà stockés dans ses cookies. Il faut savoir qu’ils sont souvent installés sur des sites internet tiers, présentant les mêmes signes distinctifs que la version officielle, dans le cas présent ceux de Yahoo. Cela permet aux cybercriminels de prétendre être la victime et d’utiliser ces informations et données personnelles d’authentification sur d’autres pages. Des sites comme Amazon, Facebook et Google ont recours à des cookies en arrière-plan lorsque vous les visitez. Ce qui signifie que tout ce que vous faites sur ces sites pendant que vous êtes connecté peut-être tracé par des cookies falsifiés.
Il est facile pour les fournisseurs de services de surveiller l’activité des cookies falsifiés. Si quelqu’un essaie de se connecter à son compte, ils peuvent en effet vérifier le navigateur et les informations relatives à un appareil qui tenterait d’utiliser les cookies. Si ce n’est pas depuis le périphérique habituel, ils comprennent alors que quelque chose ne va pas. Par exemple, Google envoie une notification aux utilisateurs lorsqu’une connexion s’opère depuis un nouvel appareil pour les avertir d’une éventuelle activité anormale.
Repérer les cookies falsifiés en tant qu’utilisateur final s’avère en revanche beaucoup plus difficile. Ainsi, la meilleure défense est d’avoir recours à un système d’authentification à deux niveaux pour l’ensemble des comptes, et de veiller à se connecter et se déconnecter à chaque visite plutôt que de resté identifié en permanence.