Yahouille ! Ce ne sont pas 200 millions de comptes Yahoo qui ont été compromis, comme l'annonçait hier Recode, mais 500 millions, « au moins ».

L'entreprise vient d'annoncer officiellement ce vol exceptionnel de données qu'elle met sur le compte d'un acteur lié à un État, sans préciser lequel, à ce stade de l'enquête. Le piratage a eu lieu fin 2014.

Des noms, adresses email, numéros de téléphone, dates de naissance, mots de passe chiffrés pour la plupart avec l'algorithme bcrypt (considéré comme robuste) et questions-réponses de sécurité (parfois chiffrées, parfois non) ont été subtilisés. D'après l'investigation toujours en cours, aucune information bancaire n'a été dérobée.

Yahoo, qui travaille avec les autorités sur le sujet, est en train d'alerter toutes les victimes potentielles. Tous les utilisateurs qui n'ont pas changé de mot de passe depuis 2014 sont enjoints à le faire (y compris sur les autres sites s'il s'agit d'un mot de passe commun). Les questions-réponses de sécurité non chiffrées ont été invalidées afin d'éviter les intrusions.

Ce piratage massif ne pouvait pas tomber plus mal pour Yahoo qui est en train de se vendre à Verizon. « Nous évaluerons où sont les intérêts de Verizon quand nous en saurons davantage sur l’enquête... D’ici là, nous ne souhaitons pas faire d’autres commentaires », a déclaré l'opérateur américain.