500 millions de comptes Yahoo compromis

Stéphane Moussie |

Yahouille ! Ce ne sont pas 200 millions de comptes Yahoo qui ont été compromis, comme l'annonçait hier Recode, mais 500 millions, « au moins ».

Image +iN (CC BY-ND)

L'entreprise vient d'annoncer officiellement ce vol exceptionnel de données qu'elle met sur le compte d'un acteur lié à un État, sans préciser lequel, à ce stade de l'enquête. Le piratage a eu lieu fin 2014.

Des noms, adresses email, numéros de téléphone, dates de naissance, mots de passe chiffrés pour la plupart avec l'algorithme bcrypt (considéré comme robuste) et questions-réponses de sécurité (parfois chiffrées, parfois non) ont été subtilisés. D'après l'investigation toujours en cours, aucune information bancaire n'a été dérobée.

Yahoo, qui travaille avec les autorités sur le sujet, est en train d'alerter toutes les victimes potentielles. Tous les utilisateurs qui n'ont pas changé de mot de passe depuis 2014 sont enjoints à le faire (y compris sur les autres sites s'il s'agit d'un mot de passe commun). Les questions-réponses de sécurité non chiffrées ont été invalidées afin d'éviter les intrusions.

Ce piratage massif ne pouvait pas tomber plus mal pour Yahoo qui est en train de se vendre à Verizon. « Nous évaluerons où sont les intérêts de Verizon quand nous en saurons davantage sur l’enquête... D’ici là, nous ne souhaitons pas faire d’autres commentaires », a déclaré l'opérateur américain.

Tags
avatar armandgz123 | 

Super... Moi qui utilise la même adresse e-mail et le même mot de passe pour quasiment tout...
Pas le temps de tout changer. Les problèmes n'arrivent qu'aux autres hein

avatar enkyl31 | 

@armandgz123 :
idem, mais bon, rassurons nous, en 2 ans, le mal est deja fait. C'est juste incroyablement scandaleux !! (pas le piratage, mais la com 2 ans apres la bataille, qui comme tout le monde le sait, ne represente que peu en informatique ...)

avatar C1rc3@0rc | 

@armandgz123
@enkyl31

1) il faut le temps de decouvrir qu'il y a eu une attaque, puis verifier si des données ont eté exfiltré, puis de verifier les comptes qui ont ete touché. La on parle de la quasi totalité des comptes Yahoo a travers differents services: y a pas que Yahoo mail!
Donc ça prend du temps et faut en plus que ce soit betoné comme info parce que pour une entreprise comme Yahoo, c'est un cataclysme. Pas d'annonce a la legere!

2) Les pirates ont recuperé vos comptes, avec LES adresses emails, les données civiles (adresses, numeros de telephone...). Ils ont ete probablement deja utilisé dans un but de surveillance et de vol de données silencieuse. Le principe c'est justement de s'introduire sur le compte de la personne et de regarder son activité pour savoir quelle est sa banque, son compte Amazon, ses adresses, ses contacts,etc. Tout ça le temps de constituer une belle base de données qui sera exploitée en temps et en heure: va falloir eplucher vos transactions financieres les gars et verifier vos abonnement (sites, impot, EDF,...)

3) depuis le temps qu'on le dit:
- un compte => un identifiant ET un mot de passe distinct
- ne jamais donner son numero de tel
- ne jamais utiliser les memes questions de securité
- changer régulièrement ses mot de passe (pas juste changer toto2015 par toto2016)

4) heureusement la secu rembourse les anxiolytiques...

avatar PierreBondurant | 

@armandgz123 :
J'utilise 1password pour avoir un password fort par site.
Je te recommande un gestionnaire de mot de passe,
Ca peut aller très vite de se faire vider ses comptes...

avatar Strophoide | 

@PierreBondurant :
... j'utilise lastpass mais j'hésite de plus en plus à passer par Keepass, qui est hors ligne, pour justement être indépendant et éviter ce genre de problème.

avatar PierreBondurant | 

@Strophoide :
Pendant longtemps j'ai utilisé que la synchro locale en wifi par sécurité.
Quand 1p est devenu compatible iCloud, jai craqué et activé la synchronisation de Mac-iPhone via iCloud. C'est vraiment pratique mais je n'ai pas le niveau pour estimer la probabilité d'une faille dans le combo 1p/iCloud...

avatar C1rc3@0rc | 

100% de probabilité!
C'est juste une question de temps et d'argent!
On aurait pu penser que Yahoo, vu sa masse et sa dependance aux comptes emails aurait betonné la securité: ben non, le responsable de la securité avait justement claqué la porte apres avoir averti sans le moindre succes la direction du niveau de faiblesse de la securisation.
Alors t'imagines un soft specialisé dans la gestion de TOUS tes mots de passe... le gars qui pirate ça ou qui rachete le fichier clients le jours ou la boite fait faillite, il a TOUS les mots de passe avec compte et surtout l'historique...
J'encloude
tu encloudes
il encloude
nous encloudons
vous encloudez
ils encloudent ... le client!

avatar rolmeyer (non vérifié) | 

@PierreBondurant :
Et bien j'utilise...l'alsacien ou le platt lorrain dans mes mots de passe. Bonne chance pour trouver. Ok faut être du coin.

avatar rolmeyer (non vérifié) | 

@rolmeyer :
Exemple xxxxxfratZbuch

avatar occam | 

@rolmeyer :
#Lachalabàtschi-nnnnnn—Scharaschliffer@

Ça devrait les occuper un petit moment...

avatar Abd Salam | 

@rolmeyer :
Le Platt est mosellan... et encore seulement une petite moitié du département a (ou avait) traditionnellement un dialecte alémanique !

Le Platt (ou mosellan alémanique en jargon universitaire) est loin d'être "lorrain" !

avatar 0MiguelAnge0 | 

@armandgz123 :
T'es du genre trés malin, toi... Bref les hackeurs ont encore de bons jours devant eux...

PS: pendant que tu es, tu devrais aussi changer ton '1234567890' comme mot de passe...

avatar occam | 

@armandgz123 :

« J'y pense et puis j'oublie
C'est la vie, c'est la vie »

Refrain de
« Cinq cent millions de Yahouille
Et ouille, et ouille, et ouille »

(h/t : vous savez qui, il fume des cigares, porte des RayBan et a largué Françoise Hardy, comment peut-on ?)

avatar Eltigrou | 

@armandgz123 :
1password est ton ami ...

avatar Rodri31 | 

Par contre je ne comprends pas pourquoi cela sors que maintenant...

avatar FreeDa | 

@Rodri31 :
Ils ont dû vouloir le camoufler au maximum j'imagine, leur image va en prendre un sacré coup...

avatar Hideyasu | 

@Rodri31 :
Parce que avant ils négociaient pour se vendre, à mon avis il ne faut pas chercher plus loin

avatar CNNN | 

Presque 2 ans... c'est surtout ça le pire

avatar éole33 | 

C'est par ici pour l'info du Monde de ce soir :)
Le Monde.fr - 500 millions de comptes d’utilisateurs de Yahoo! ont été piratés

Selon la société américaine, le piratage aurait eu lieu à la « fin de 2014 » par une entité probablement liée à un Etat.

http://www.lemonde.fr/pixels/article/2016/09/22/500-millions-de-comptes-d-utilisateurs-de-yahoo-ont-ete-pirates_5002118_4408996.html

avatar gwen | 

C'est surtout que Yahoo vient juste de s'en rendre compte car une personne vendait le listing pour un peu moins de 2000$ il y a peu de temps. C'est comme ça qu'ils ont su. Si ça n'avais pas traîner entre de mauvaises mains, ça aurais pu rester encore longtemps très discret.

avatar Switcher | 

J'imagine bien à partir de demain matin la propagande de tous les côtés (presse-radio-TV-'ternet) :

"- C't'un coup de Vladimir !!"
"- L'Etat Profond US nous a encore mis dedans !"
"- Il faut 'nuker' la Corée du Nord !!"
"- Encore un piratage des Chinois !"
etc. etc.

avatar MerkoRiko | 

Je ne vois que Michel Rocard ou Paul Bismuth...

avatar Paquito06 | 

Yahoo, ca tenait debout dans les annees 90, ils ont pas franchi le cap de l'an 2000 (ou la bulle internet, au choix). Ce qui est scandaleux c'est qu'ils aient encore des utilisateurs. Je prefere Lycos :)

avatar FreeDa | 

@Paquito06 :
Lycos ? Pfff rien ne vaut Caramail...

avatar Paquito06 | 

@FreeDa :
:-D

avatar Enogabalo | 

Avec un forfait 50h pour 99 F chez AOL.

avatar MacGyver | 

bah, tout le monde va penser a Vladimir P. mais quand je vois ce que font les USA, ca m'etonnerais pas que ca soit eux (sauf que si c'etait le cas, yahoo dirait surement rien... ou bien plusieurs annees apres)

avatar IRONMAN65 | 

Y'en qui sont encore sur Yahoo!

avatar ibabar | 

@Ironman65: sur Yahoo! pas forcément mais sur FlickR il y a du monde

avatar Apollo11 | 

@ibabar :
Justement, j'utilise Yahoo que pour Flickr.

« Heureusement », je suis obligé mon mot de passe de temps en temps. Merci à toutes ces compagnies qui se font hacker régulièrement et qui nous force à modifier tous nos de passe...

avatar CNNN | 

@IRONMAN65 :
Surtout aux USA

avatar MerkoRiko | 

donc, peut-être, un petit répit pour pour yahoo.fr au lieu du .com (qui, si je ne m'abuse était payant quelque part au contraire du .fr)...
Il y avait eu la faille heartbleed qui m'avait fait changée tous mes mdp, 2012 ou 2014?

avatar EBLIS | 

Il y a toujours des comptes sur yahoo qui sont obligatoires comme pour ceux de flickr si je ne me trompe pas.

avatar Al-B | 

C'est déjà pas facile de trouver un compromis alors, 500 millions...
Yahooooo !!!

avatar Leadlike | 

Ça existé encore Yahoo ?

avatar Microbd | 

2 ans pour s'en apercevoir !
Applement vôtre.

avatar Riaz81 | 

Yahoo c'est un peu comme Blackberry, aucune vision du futur, zero innovation. Penser que le même business model dans le hightech pourra être maintenu sur plusieurs années, c'est vraiment un manque de bon sens. Personnellement, je pense que la fuite a été masquée volontairement durant ces deux années car yahoo était déjà à la recherche d'un repreneur. J'utilise mon compte yahoo pour les blagues salées envoyées par les collègues, y'en a tant que j'arrive ps à me décider de clôturer le compte! :p

avatar Eltigrou | 

@Riaz81 :
Salées... Tu veux dire salaces ?

avatar tigert709 | 

Ça fait presque deux ans et ils demandent maintenant d'échanger son mot de passe... si il y avait eu quelque chose c'est un peu tard non

avatar belrock | 

Jusqu'à présent je disais "il n'y a que Apple qui est capable de limiter la casse", mais j'ai comme un doute là....

avatar rolmeyer (non vérifié) | 

@belrock :
Yep qui va tomber en premier ? Google Microsoft ou Apple ?Comme le PSN (sony PlayStation) est tombé plusieurs fois j'ai pris une Xbox pour mon gamin, en plus la version 1 à 175 en promo ça ne se refuse pas. Mais le prix n'était pas la motivation première

avatar desimages | 

Qu'en est-il des comptes Flickr ? Ils passent par Yahoo ou j'ai rien compris?

avatar melaure | 

Si cela pouvait servir de leçon aux gens qui mettent tout sur le cloud. Car ce n'est qu'une question de temps pour que cela arrive un jour à Apple, Google ou Microsoft ...

avatar r e m y | 

@desimages
Hier en me connectant à mon compte Flickr, j'ai dû changer de mot de passe obligatoirement.

Ensuite le plus long, a été de checker si j'utilisais ce même mot de passe avec le même identifiant sur d'autres sites ou services pour les modifier également.

Maintenant j'utilise chaque fois que possible la génération de mot de passe de 1Password tout en priant que la base de donnees de 1Password ne soit jamais corrompue au point de ne plus pouvoir l'ouvrir car ces mots de passe ne sont pas mémorisables et si je perds 1password... je suis dans la mouise.

avatar ludmer67 | 

Le problème avec les commentaires, c'est qu'il y a autant d'avis que de commentateur...

Après avoir lu cette informations sur Yahoo, j'ai décidé de changer mes mots de passe importants en utilisant iCloud Keychain. Alors, je change mes mots de passe, j'essaye d'utiliser Google Authenticator. Et là, on a des commentaires sur le thème "ouais, mais bon, quoi, encore quelques jours avant que ça n'arrive à Apple". Merde ! Je me vois déjà récupérer à la main tous les mots de passe en imaginant un hack d'iCloud...

Que faire ? Mon identifiant Apple a un mot de passe fort et j'utilise la connexion à deux étapes (enfin, avec un autre iDevice). J'essaye d'être prévoyant, de me protéger au maximum. Je me méfie du spam, je vérifie systématiquement l'adresse (ex : ebay@jauraitonpognon.gling). Je me rassure en me disant que ce sont d'abord les mots de passe faibles qui sont visés. Mais qu'en est-il ?

Quelqu'un pour rassurer un paranoïaque ?

avatar occam | 

@ludmer67 :

C'est pas vraiment pour vous rassurer mais...
On dort plus tranquillement si l'on accepte que tout secret doit être considéré comme irrémédiablement compromis.

L'ancien chancelier allemand Konrad Adenauer, se gaussant du culte du secret célébré par ses chefs de l'espionnage et du contre-espionnage, expliquait les trois échelons des secrets officiels :
- Confidentiel = publié dans la presse le lendemain
- Secret = publié par le Spiegel le lundi suivant
- Top Secret = connu de l'ennemi (« dem Feind bekannt »)

avatar alan1bangkok | 

Je préfère ne pas penser au piratage , de toutes façons les hackers auront toujours l'avantage sur moi , quoique je fasse .
Ou alors c'est à devenir dingue
Vivons !

avatar r e m y | 

@ludmer
Je ne pense pas qu'il existe de solution sûre à 100%. Tout ce qu'on peut faire c'est essayer de limiter l'impact d'un éventuel vol de mot de passe.
Personnellement, j'ai supprimé toute référence de carte bancaire de tous les sites de commerce (Apple, iTunes, Amazon, ....) et quand je fais un achat je n'utilise plus que des numéros à usage unique délivré sur le site de ma banque. (Site sur lequel toutes les opérations de paiement ou de virement sont soumise à validation en 2 étapes)

Maintenant, il n'y a pas que les risques financiers... L'usurpation d'identité ca peut être tres chiant aussi.

avatar guersouf | 

Je vais clôturer mon compte

avatar Orus | 

Les intérêts financiers sont tellement énorme, qu'un jour il va y avoir des morts suite à ces piratage de comptes.

CONNEXION UTILISATEUR