Sans blague : Yahoo a confirmé mercredi (14) qu’elle avait subi une nouvelle attaque de pirates informatiques, entraînant la fuite d’informations de plus d’un milliard de comptes. La nouvelle arrive moins de trois mois après que Yahoo ait admis un piratage informatique qui a touché plus de 500 millions d’utilisateurs.
Comme pour l’attaque précédente, Yahoo découvre la fuite bien après que le problème se soit produit, mais le cas d’aujourd’hui est encore plus grave : l’attaque précédemment signalée aurait eu lieu fin 2014, alors que celle d’aujourd’hui s’est produite en août 2013 (oui, avant).
Les informations divulguées comprennent des noms, des adresses électroniques, des numéros de téléphone, des dates de naissance, des hachures de mots de passe (avec MD5) et, dans certains cas, des questions et réponses de sécurité cryptées ou non. Les informations bancaires et de carte de crédit étaient stockées sur d’autres serveurs et n’ont pas été consultées (ou du moins Yahoo n’a pas publié qui a été consulté ; nous pourrions savoir quelque chose en 2018).
Selon Yahoo, une personne non autorisée a pu accéder au code source de l’un des systèmes de l’entreprise et a découvert comment falsifier des cookies pour accéder aux comptes d’utilisateurs sans même connaître le mot de passe. Yahoo prétend avoir invalidé tous les cookies usurpés et a notifié individuellement les comptes qu’il a mal identifiés.
Récemment, Yahoo a admis que certains de ses employés étaient au courant de l’autre fuite depuis 2014. L’entreprise a également été critiquée par d’anciens employés, qui ont déclaré que le PDG Marissa Mayer avait réduit les ressources de l’équipe de sécurité de l’information et paralysé le développement des technologies de détection des intrusions. L’accord de Verizon pour le rachat de Yahoo pour 4,8 milliards de euros doit être renégocié.
Yahoo recommande à tous les utilisateurs de modifier leurs mots de passe, de vérifier les activités suspectes sur leurs comptes et de réinitialiser les questions de sécurité. Mais je vous recommande de supprimer simplement votre compte, si vous ne l’avez pas déjà fait ? voici les instructions.
