500 millions de comptes Yahoo compromis
Yahouille ! Ce ne sont pas 200 millions de comptes Yahoo qui ont été compromis, comme l'annonçait hier Recode, mais 500 millions, « au moins ».
L'entreprise vient d'annoncer officiellement ce vol exceptionnel de données qu'elle met sur le compte d'un acteur lié à un État, sans préciser lequel, à ce stade de l'enquête. Le piratage a eu lieu fin 2014.
Des noms, adresses email, numéros de téléphone, dates de naissance, mots de passe chiffrés pour la plupart avec l'algorithme bcrypt (considéré comme robuste) et questions-réponses de sécurité (parfois chiffrées, parfois non) ont été subtilisés. D'après l'investigation toujours en cours, aucune information bancaire n'a été dérobée.
Yahoo, qui travaille avec les autorités sur le sujet, est en train d'alerter toutes les victimes potentielles. Tous les utilisateurs qui n'ont pas changé de mot de passe depuis 2014 sont enjoints à le faire (y compris sur les autres sites s'il s'agit d'un mot de passe commun). Les questions-réponses de sécurité non chiffrées ont été invalidées afin d'éviter les intrusions.
Ce piratage massif ne pouvait pas tomber plus mal pour Yahoo qui est en train de se vendre à Verizon. « Nous évaluerons où sont les intérêts de Verizon quand nous en saurons davantage sur l’enquête... D’ici là, nous ne souhaitons pas faire d’autres commentaires », a déclaré l'opérateur américain.
Super... Moi qui utilise la même adresse e-mail et le même mot de passe pour quasiment tout...
Pas le temps de tout changer. Les problèmes n'arrivent qu'aux autres hein
@armandgz123 :
idem, mais bon, rassurons nous, en 2 ans, le mal est deja fait. C'est juste incroyablement scandaleux !! (pas le piratage, mais la com 2 ans apres la bataille, qui comme tout le monde le sait, ne represente que peu en informatique ...)
@armandgz123
@enkyl31
1) il faut le temps de decouvrir qu'il y a eu une attaque, puis verifier si des données ont eté exfiltré, puis de verifier les comptes qui ont ete touché. La on parle de la quasi totalité des comptes Yahoo a travers differents services: y a pas que Yahoo mail!
Donc ça prend du temps et faut en plus que ce soit betoné comme info parce que pour une entreprise comme Yahoo, c'est un cataclysme. Pas d'annonce a la legere!
2) Les pirates ont recuperé vos comptes, avec LES adresses emails, les données civiles (adresses, numeros de telephone...). Ils ont ete probablement deja utilisé dans un but de surveillance et de vol de données silencieuse. Le principe c'est justement de s'introduire sur le compte de la personne et de regarder son activité pour savoir quelle est sa banque, son compte Amazon, ses adresses, ses contacts,etc. Tout ça le temps de constituer une belle base de données qui sera exploitée en temps et en heure: va falloir eplucher vos transactions financieres les gars et verifier vos abonnement (sites, impot, EDF,...)
3) depuis le temps qu'on le dit:
- un compte => un identifiant ET un mot de passe distinct
- ne jamais donner son numero de tel
- ne jamais utiliser les memes questions de securité
- changer régulièrement ses mot de passe (pas juste changer toto2015 par toto2016)
4) heureusement la secu rembourse les anxiolytiques...
@armandgz123 :
J'utilise 1password pour avoir un password fort par site.
Je te recommande un gestionnaire de mot de passe,
Ca peut aller très vite de se faire vider ses comptes...
@PierreBondurant :
... j'utilise lastpass mais j'hésite de plus en plus à passer par Keepass, qui est hors ligne, pour justement être indépendant et éviter ce genre de problème.
@Strophoide :
Pendant longtemps j'ai utilisé que la synchro locale en wifi par sécurité.
Quand 1p est devenu compatible iCloud, jai craqué et activé la synchronisation de Mac-iPhone via iCloud. C'est vraiment pratique mais je n'ai pas le niveau pour estimer la probabilité d'une faille dans le combo 1p/iCloud...
100% de probabilité!
C'est juste une question de temps et d'argent!
On aurait pu penser que Yahoo, vu sa masse et sa dependance aux comptes emails aurait betonné la securité: ben non, le responsable de la securité avait justement claqué la porte apres avoir averti sans le moindre succes la direction du niveau de faiblesse de la securisation.
Alors t'imagines un soft specialisé dans la gestion de TOUS tes mots de passe... le gars qui pirate ça ou qui rachete le fichier clients le jours ou la boite fait faillite, il a TOUS les mots de passe avec compte et surtout l'historique...
J'encloude
tu encloudes
il encloude
nous encloudons
vous encloudez
ils encloudent ... le client!
@PierreBondurant :
Et bien j'utilise...l'alsacien ou le platt lorrain dans mes mots de passe. Bonne chance pour trouver. Ok faut être du coin.
@rolmeyer :
Exemple xxxxxfratZbuch
@rolmeyer :
#Lachalabàtschi-nnnnnn—Scharaschliffer@
Ça devrait les occuper un petit moment...
@rolmeyer :
Le Platt est mosellan... et encore seulement une petite moitié du département a (ou avait) traditionnellement un dialecte alémanique !
Le Platt (ou mosellan alémanique en jargon universitaire) est loin d'être "lorrain" !
@armandgz123 :
T'es du genre trés malin, toi... Bref les hackeurs ont encore de bons jours devant eux...
PS: pendant que tu es, tu devrais aussi changer ton '1234567890' comme mot de passe...
@armandgz123 :
« J'y pense et puis j'oublie
C'est la vie, c'est la vie »
Refrain de
« Cinq cent millions de Yahouille
Et ouille, et ouille, et ouille »
(h/t : vous savez qui, il fume des cigares, porte des RayBan et a largué Françoise Hardy, comment peut-on ?)
@armandgz123 :
1password est ton ami ...
Par contre je ne comprends pas pourquoi cela sors que maintenant...
@Rodri31 :
Ils ont dû vouloir le camoufler au maximum j'imagine, leur image va en prendre un sacré coup...
@Rodri31 :
Parce que avant ils négociaient pour se vendre, à mon avis il ne faut pas chercher plus loin
Presque 2 ans... c'est surtout ça le pire
C'est par ici pour l'info du Monde de ce soir :)
Le Monde.fr - 500 millions de comptes d’utilisateurs de Yahoo! ont été piratés
Selon la société américaine, le piratage aurait eu lieu à la « fin de 2014 » par une entité probablement liée à un Etat.
http://www.lemonde.fr/pixels/article/2016/09/22/500-millions-de-comptes-d-utilisateurs-de-yahoo-ont-ete-pirates_5002118_4408996.html
C'est surtout que Yahoo vient juste de s'en rendre compte car une personne vendait le listing pour un peu moins de 2000$ il y a peu de temps. C'est comme ça qu'ils ont su. Si ça n'avais pas traîner entre de mauvaises mains, ça aurais pu rester encore longtemps très discret.
J'imagine bien à partir de demain matin la propagande de tous les côtés (presse-radio-TV-'ternet) :
"- C't'un coup de Vladimir !!"
"- L'Etat Profond US nous a encore mis dedans !"
"- Il faut 'nuker' la Corée du Nord !!"
"- Encore un piratage des Chinois !"
etc. etc.
Je ne vois que Michel Rocard ou Paul Bismuth...
Yahoo, ca tenait debout dans les annees 90, ils ont pas franchi le cap de l'an 2000 (ou la bulle internet, au choix). Ce qui est scandaleux c'est qu'ils aient encore des utilisateurs. Je prefere Lycos :)
@Paquito06 :
Lycos ? Pfff rien ne vaut Caramail...
@FreeDa :
:-D
Avec un forfait 50h pour 99 F chez AOL.
bah, tout le monde va penser a Vladimir P. mais quand je vois ce que font les USA, ca m'etonnerais pas que ca soit eux (sauf que si c'etait le cas, yahoo dirait surement rien... ou bien plusieurs annees apres)
Y'en qui sont encore sur Yahoo!
@Ironman65: sur Yahoo! pas forcément mais sur FlickR il y a du monde
@ibabar :
Justement, j'utilise Yahoo que pour Flickr.
« Heureusement », je suis obligé mon mot de passe de temps en temps. Merci à toutes ces compagnies qui se font hacker régulièrement et qui nous force à modifier tous nos de passe...
@IRONMAN65 :
Surtout aux USA
donc, peut-être, un petit répit pour pour yahoo.fr au lieu du .com (qui, si je ne m'abuse était payant quelque part au contraire du .fr)...
Il y avait eu la faille heartbleed qui m'avait fait changée tous mes mdp, 2012 ou 2014?
Il y a toujours des comptes sur yahoo qui sont obligatoires comme pour ceux de flickr si je ne me trompe pas.
C'est déjà pas facile de trouver un compromis alors, 500 millions...
Yahooooo !!!
Ça existé encore Yahoo ?
2 ans pour s'en apercevoir !
Applement vôtre.
Yahoo c'est un peu comme Blackberry, aucune vision du futur, zero innovation. Penser que le même business model dans le hightech pourra être maintenu sur plusieurs années, c'est vraiment un manque de bon sens. Personnellement, je pense que la fuite a été masquée volontairement durant ces deux années car yahoo était déjà à la recherche d'un repreneur. J'utilise mon compte yahoo pour les blagues salées envoyées par les collègues, y'en a tant que j'arrive ps à me décider de clôturer le compte! :p
@Riaz81 :
Salées... Tu veux dire salaces ?
Ça fait presque deux ans et ils demandent maintenant d'échanger son mot de passe... si il y avait eu quelque chose c'est un peu tard non
Jusqu'à présent je disais "il n'y a que Apple qui est capable de limiter la casse", mais j'ai comme un doute là....
@belrock :
Yep qui va tomber en premier ? Google Microsoft ou Apple ?Comme le PSN (sony PlayStation) est tombé plusieurs fois j'ai pris une Xbox pour mon gamin, en plus la version 1 à 175 en promo ça ne se refuse pas. Mais le prix n'était pas la motivation première
Qu'en est-il des comptes Flickr ? Ils passent par Yahoo ou j'ai rien compris?
Si cela pouvait servir de leçon aux gens qui mettent tout sur le cloud. Car ce n'est qu'une question de temps pour que cela arrive un jour à Apple, Google ou Microsoft ...
@desimages
Hier en me connectant à mon compte Flickr, j'ai dû changer de mot de passe obligatoirement.
Ensuite le plus long, a été de checker si j'utilisais ce même mot de passe avec le même identifiant sur d'autres sites ou services pour les modifier également.
Maintenant j'utilise chaque fois que possible la génération de mot de passe de 1Password tout en priant que la base de donnees de 1Password ne soit jamais corrompue au point de ne plus pouvoir l'ouvrir car ces mots de passe ne sont pas mémorisables et si je perds 1password... je suis dans la mouise.
Le problème avec les commentaires, c'est qu'il y a autant d'avis que de commentateur...
Après avoir lu cette informations sur Yahoo, j'ai décidé de changer mes mots de passe importants en utilisant iCloud Keychain. Alors, je change mes mots de passe, j'essaye d'utiliser Google Authenticator. Et là, on a des commentaires sur le thème "ouais, mais bon, quoi, encore quelques jours avant que ça n'arrive à Apple". Merde ! Je me vois déjà récupérer à la main tous les mots de passe en imaginant un hack d'iCloud...
Que faire ? Mon identifiant Apple a un mot de passe fort et j'utilise la connexion à deux étapes (enfin, avec un autre iDevice). J'essaye d'être prévoyant, de me protéger au maximum. Je me méfie du spam, je vérifie systématiquement l'adresse (ex : ebay@jauraitonpognon.gling). Je me rassure en me disant que ce sont d'abord les mots de passe faibles qui sont visés. Mais qu'en est-il ?
Quelqu'un pour rassurer un paranoïaque ?
@ludmer67 :
C'est pas vraiment pour vous rassurer mais...
On dort plus tranquillement si l'on accepte que tout secret doit être considéré comme irrémédiablement compromis.
L'ancien chancelier allemand Konrad Adenauer, se gaussant du culte du secret célébré par ses chefs de l'espionnage et du contre-espionnage, expliquait les trois échelons des secrets officiels :
- Confidentiel = publié dans la presse le lendemain
- Secret = publié par le Spiegel le lundi suivant
- Top Secret = connu de l'ennemi (« dem Feind bekannt »)
Je préfère ne pas penser au piratage , de toutes façons les hackers auront toujours l'avantage sur moi , quoique je fasse .
Ou alors c'est à devenir dingue
Vivons !
@ludmer
Je ne pense pas qu'il existe de solution sûre à 100%. Tout ce qu'on peut faire c'est essayer de limiter l'impact d'un éventuel vol de mot de passe.
Personnellement, j'ai supprimé toute référence de carte bancaire de tous les sites de commerce (Apple, iTunes, Amazon, ....) et quand je fais un achat je n'utilise plus que des numéros à usage unique délivré sur le site de ma banque. (Site sur lequel toutes les opérations de paiement ou de virement sont soumise à validation en 2 étapes)
Maintenant, il n'y a pas que les risques financiers... L'usurpation d'identité ca peut être tres chiant aussi.
Je vais clôturer mon compte
Les intérêts financiers sont tellement énorme, qu'un jour il va y avoir des morts suite à ces piratage de comptes.