500 millions de comptes Yahoo piratés par une organisation soutenue par un État

Même si cette faille de sécurité avait déjà annoncée, personne n'avait anticipé sa gravité.
23 septembre 2016, 8:03am

Hier, Yahoo a confirmé avoir été victime d'une attaque pirate, bien plus grave que ne le laissaient entendre les rumeurs jusque-là. Des informations personnelles associées à plus de 500 millions de compte utilisateurs auraient été dérobées par un pirate. Etonnamment, la société attribue ce piratage de grande ampleur à « une organisation soutenue par un État. »

« Une récente enquête de Yahoo ! Inc. a confirmé que des données personnelles associées à des comptes utilisateurs ont été volées fin 2014 par un acteur associé à un État, » révèle un communiqué de presse.

Les informations en question concernent des noms, adresses email, numéros de téléphone, date de naissance, mot de passe hachés et certains cas, des questions et des réponses de sécurité chiffrées.

Yahoo explique qu'il a averti les utilisateurs potentiellement affectés par cette faille de sécurité, et avait pris toutes les mesures nécessaires pour sécuriser leur compte, notamment en désactivant le système de questions de sécurité. La société recommande également aux utilisateurs n'ayant pas changé leur mot de passe depuis 2014 de le faire immédiatement.

« Les vols de données et autres intrusions numériques commandités par des États sont de plus en plus courants. Yahoo et d'autres entreprises ont dû lancer des programmes de détection et d'avertissement permettant d'alerter les utilisateurs lorsque leur compte est soupçonné d'avoir été attaqué. Depuis le lancement du programme de Yahoo en décembre 2015, indépendamment de l'affaire actuelle, environ 10 000 utilisateurs ont reçu une alerte de la part de l'entreprise, » poursuit le communiqué.

Yahoo n'a pas apporté de preuve formelle que le piratage venait effectivement d'une entité soutenue par un État.

« La société travaille en coopération étroite avec les autorités sur ce sujet, » précise le communiqué.

Même si la faille de sécurité avant été annoncé auparavant, le nombre de comptes utilisateur concernés avait été largement sous-estimé.

En août, Motherboard a rapporté que le pirate connu sous le nom de Peace, et qui avait vendu des lots massifs de données personnelles à des entreprises de la Silicon Valley, aurait proposé la vente des données de 200 millions de comptes supposément issues du hack Yahoo sur The Real Deal. Elles auraient été vendues pour 3 bitcoins, c'est-à-dire 1890$ environ.

« Nous connaissons les revendications de Peace, » avait alors confié un porte-parole de Yahoo à Motherboard par email. « Nous nous engageons à protéger la sécurité des informations personnelles de nos utilisateurs, et nous prenons ce genre d'allégations très au sérieux. Notre équipe travaille actuellement à les vérifier et à déterminer quels sont les faits. Yahoo travaille activement à la sécurité des comptes utilisateur, et encourage vivement à créer des mots de passe solides, à se familiariser avec Yahoo Account Key, et à utiliser des mots de passe différents sur toutes les plateformes. »

Peu de temps après que ces lots de données aient été mis en vente, un client mécontent a contacté Motherboard, se plaignant que Peace l'avait escroqué et n'avait pas livré les données Yahoo piratées comme prévu.

L'une de nos sources nous a expliqué que, même s'il n'avait aucune preuve de la véracité des allégations de Peace, Yahoo avait mené une enquête approfondie. C'est grâce à cette enquête que l'entreprise aurait fait la lumière sur une attaque perpétrée par une entité soutenue par un État en 2014. Notre source n'a pas pu fournir la preuve de cette hypothèse, mais affirme que Yahoo est convaincu qu'elle est exacte.

Selon les déclarations de Yahoo, la majorité des mots de passe avait été hachée grâce à la fonction bcrypt, particulièrement puissante. Cela signifie que le ou les pirates auront eu toutes les peines du monde à obtenir le mot de passe réel des comptes piratés. La source affirme également qu'une toute petite proportion de ces mots de passe n'a pas été hachée par bcrypt.

Ces derniers mois ont été le théâtre d'une longue suite de failles de sécurité massives chez Myspace, LinkedIn, et Dropbox. La plupart des données obtenues ont été vendues par Peace, et une petite partie par le pirate Tessa88. Gare à vos mots de passe !