Comme prévu, Yahoo vient de publier un communiqué reconnaissant que plus de 500 millions de comptes utilisateurs ont été piratés. Il s’agit donc probablement du plus grand piratage de tous les temps.
Les informations dérobées comprennent le nom, prénom, adresses de courriel, numéros de téléphone, mots de passes dérivés, et selon les cas les questions de sécurité ainsi que leurs réponses.
Les numéros de cartes de crédit et les informations de comptes bancaires n’auraient en revanche pas été affectés. Les comptes utilisateurs de Tumblr ne seraient pas affectés non plus.
D’après l’entreprise californienne, le piratage se serait produit en 2014, et ses auteurs travailleraient sans doute pour un État étranger.
Yaho va contacter les utilisateurs affectés, et les prier de bien vouloir changer de mots de passe. Dans certains cas, les questions de sécurité doivent être réinitialisées.
Yahoo en profite pour suggérer d’utiliser Yahoo Account Key, un système d’authentification sans mot de passe, à l’aide d’une appli mobile.
L’impact pour les victimes ne saurait être sous-estimé. Les pirates ont accès à leur compte courriel, et de nombreuses informations sur leur utilisation des services de Yahoo. Ce qui n’est que la pointe de l’iceberg.
Car un compte Yahoo, tout comme un compte Facebook, Microsoft ou Google, peut souvent servir pour accéder à des services tiers, qui s’en servent comme système d’accréditation.
Sans compter que malheureusement, de nombreux internautes ont la fâcheuse habitude de choisir le même mot de passe pour tous les services en ligne qu’ils utilisent.
Le communiqué ne répond pas à toutes les questions.
Yahoo a lancé une enquête suite aux fanfaronnades d’un pirate en juillet dernier, qui vendait ce qu’il représente comme les informations de 200 millions de comptes Yahoo piratés en 2012 : ni la date, ni la quantité, ni l’auteur ne semblent correspondre.
Doit-on en conclure que Yahoo a été victime de deux piratages séparés, et n’en a découvert qu’un ?
Verizon Communications, qui a racheté le cœur d’activité de Yahoo pour 4,8 milliards de dollars après une série d’enchères privées, affirme n’avoir été informé par Yahoo que depuis deux jours, et ne souhaite pas commenter avant d’avoir étudié l’affaire de plus près.
Ce piratage pourrait remettre en question l’acquisition.
Durant la vérification préalable, un ensemble de questions portait sur les éventuels piratages informatiques dont Yahoo aurait été éventuellement victime.
Comble de l’ironie, Verizon est l’un des grands spécialistes de la protection des entreprises contre le piratage.