Ce ne sont pas des nouvelles répétées, non. Yahoo a subi une nouvelle attaque. C’est un peu différent, du moins : la société a expliqué dans un courriel envoyé aux utilisateurs concernés que leurs comptes ont été piratés à l’aide d’une technique impliquant de faux cookies.
Cette attaque est un peu plus difficile à suivre car elle n’est pas liée aux logiciels malveillants qui capturent les mots de passe des utilisateurs, par exemple. Ce qui s’est passé ici, c’est que les attaquants ont eu accès à des logiciels liés aux systèmes de sécurité de Yahoo et, sur cette base, ont généré des cookies qui informent le service qu’un utilisateur s’est déjà connecté. De cette façon, les comptes pourraient être accessibles sans utiliser de mots de passe.
Yahoo a fait de son mieux pour maintenir la discrétion dans cette affaire. La société a même confirmé les invasions de la presse, mais n’a pas révélé combien de comptes ont été touchés, par exemple. La nouvelle n’est devenue publique que parce que certains utilisateurs ont posté le courriel d’alerte sur les réseaux sociaux.
L’entreprise est au courant de cette forme d’invasion depuis l’année dernière, lorsque les experts en sécurité ont découvert la vulnérabilité qui permet l’utilisation de faux cookies pour accéder aux comptes. Après cela, Yahoo a suivi le protocole : il a averti les utilisateurs concernés et a renforcé la sécurité pour prévenir de nouvelles attaques de ce type (du moins c’est ce que prétend la société).
Comme les utilisateurs sont toujours avertis, il est possible que le problème ait eu une portée plus grande que ce à quoi Yahoo s’attendait ou que l’entreprise ait des difficultés à identifier les comptes concernés.
Dans le courriel, l’entreprise indique que les accès abusifs ont été effectués en 2015 ou 2016. La vulnérabilité qui a permis l’accès au système de cookies a été explorée en 2014, apparemment.
Cette succession de problèmes de sécurité et de défaillances de gestion a mis Yahoo dans une situation extrêmement délicate sur le marché. La solution est la vente de l’entreprise : en juillet 2016, l’opérateur américain Verizon a conclu un accord pour acheter une partie de Yahoo pour 4,83 milliards de euros.
Lire aussi : Comment Yahoo est passé du ciel à l’enfer
Depuis lors, des problèmes impliquant Yahoo ont continué à être révélés. Résultat : la proposition de Verizon tient toujours, mais l’opérateur a réduit la valeur de l’offre de 250 millions de euros.
Compte tenu des circonstances, la réduction n’est même pas si faible. En l’état actuel des choses, la société va bientôt payer pour être reprise par Verizon.