Nous tenons là la plus importante fuite de données personnelles suite à un piratage informatique depuis le commencement d’Internet. C’est Yahoo qui détient maintenant ce triste record, après la révélation fracassante du piratage de plus d’un milliard de comptes utilisateurs en 2013.
Le nombre est hallucinant, et pour cause, il représente l’ensemble de la base de données utilisateur du géant américain Yahoo en 2013. La base se compose des noms, numéros de téléphone, mots de passe (hachés en MD5) et dates de naissance d’un milliard d’utilisateurs de Yahoo. Cela fait suite à une autre affaire fâcheuse révélée il y a peu, à savoir le piratage de 500 millions de comptes utilisateurs en 2014 (une entité soutenue techniquement par un Etat est pointée du doigt). Yahoo enchaîne dangereusement les fuites massives !
Selon le groupe, qui traverse de grandes difficultés financières, ce nouvel incident serait distinct de la vaste cyberattaque révélée fin septembre mais qui datait de 2014 et portait sur 500 millions de comptes utilisateurs.
« Yahoo pense qu’une tierce partie non autorisée a volé, en août 2013, des données liées à plus d’un milliard de comptes d’utilisateurs », écrit le groupe dans un communiqué, indiquant ne pas être en mesure d’identifier pour le moment les auteurs de cette intrusion massive.
L’algorithme MD5 utilisé pour les mots de passe est notoirement reconnu comme faible et dépassé. Il peut être cassé en quelques secondes, minutes ou heures selon la force du mot de passe. Yahoo! n’a pas su faire évoluer ses pratiques sécuritaire selon le rythme des évolutions du cracking.
Le groupe affirme par ailleurs que les informations relatives aux données bancaires des clients (cartes de crédit ou comptes bancaires) n’ont pas été affectées par la fuite : Les données bancaires ne seraient pas stockées au sein du système qui a été touché par le piratage.Yahoo indique travailler en collaboration avec les autorités afin de remonter à l’origine du piratage.
Yahoo! a conclu un accord à la fin de juillet pour céder au géant des télécoms Verizon ses activités de cœur de métier. L’accord de rachat de 4,8 milliards de dollars par Verizon serait-il gravement menacé à l’heure actuelle ? On peut effectivement avoir de gros doutes sur l’aboutissement du rachat face à l’ampleur extraordinaire de la récente révélation ! L’action Yahoo! à Wall Street perdait d’ailleurs 1,35 % de sa valeur, chutant à 40,91 dollars. Nul doute que l’image de marque, déjà largement entachée, va en prendre un sacré coup !
Si vous étiez inscrit sur un service Yahoo! (n’oubliez pas Flickr), partez du principe que votre mots de passe a été compromis. Il est alors très fortement recommandé de changer immédiatement votre mot de passe, sur tous les services liés à Yahoo. Si possible, activez l’authentification forte à double facteur (SMS) et pensez à votre question secrète. Si vous souhaitez fermer et supprimer votre compte Yahoo, c’est par ici.
Ci-dessous, témoignage sur l’affaire Yahoo! de Ryan Kalember – SVP, Cybersecurity Strategy chez Proofpoint :
“Il est essentiel pour les consommateurs et les entreprises de prendre conscience que leurs identifiants de messagerie sont la première et principale porte d’entrée à leurs informations les plus sensibles. L’annonce de cette nouvelle brèche chez Yahoo! conforte le fait que les comptes de messagerie sont des cibles de choix pour les cybercriminels. L’email est la meilleure façon pour les cybercriminels de pénétrer les organisations les plus importantes du monde et ils ciblent les messageries et les informations personnelles avec la même agressivité.
L’email est un indispensable dans notre société numérique et les pirates travaillent sans relâche à l’exploiter. Lorsqu’un pirate informatique pénètre dans votre compte de messagerie, il peut également vous dérober des informations sensibles telles que votre nom, votre date de naissance, vos mots de passe précédents et même vos questions et réponses de sécurité. La brèche créée un lien direct entre un agresseur et sa victime.
Si votre email personnel est compromis et qu’un pirate s’empare de votre identité, cela expose tous vos contacts à une menace immédiate et octroi à l’assaillant la possibilité de réinitialiser l’ensemble de vos mots de passe. En profitant des messageries, les pirates tirent parti de la confiance qu’il existe entre un expéditeur et son destinataire lors de l’envoi d’un message. Cette confiance est à la base de notre société numérique. Qu’il s’agisse d’un message personnel ou d’entreprise, le résultat est le même, la confiance est rompue et l’information se transforme en risque.
Avec l’importance des informations à recueillir, les cybercriminels continueront d’attaquer les entreprises tant que leurs efforts resteront récompensés. Aujourd’hui, un milliard de consommateurs ont été abusés. Que se passera-t-il demain ? Les entreprises doivent prendre les mesures nécessaires pour ne pas apparaître à leur tour dans les grands titres.“
Ahurissant de voir que yahoo hachait encore ses mots de passes en md5…
Les commentaires sont fermés.