Faille de sécurité Yahoo : 500 millions de comptes concernés. Changez votre mot de passe !

Yahoo a finalement bien confirmé les premières rumeurs, selon lesquelles des données relatives à plus d’un demi-milliard de comptes avaient été dérobées lors d’une faille de sécurité Yahoo remontant à 2014.

Ces données volées peuvent inclure des noms, des emails, des numéros de téléphone, des dates de naissance, des mots de passe hashés (et pour la plupart avec la fonction de hashage associée bcrypt), et enfin, dans certains cas, les questions de sécurité et leurs réponses chiffrées ou en clair.

Yahoo a déclaré que cette faille de sécurité Yahoo ne concernait pas les mots de passe non protégés et les informations relatives aux cartes de paiement et aux comptes bancaires. L’entreprise a précisé qu’elle ne stockait pas les cartes de paiement ou les données bancaires sur son système.

Yahoo montre du doigt une attaque menée avec l’appui d’un état (non spécifié). Le FBI a confirmé qu’il était en train de mener une enquête concernant cette attaque.

Trois membres du renseignement américain, sous couvert d’anonymat, ont déclaré à Reuters qu’ils pensaient que cette attaque avaient été facilitées par un état, du fait de sa ressemblance avec des attaques antérieures qui avaient permis de remonter jusqu’à des agences de renseignement russe, ou des hackers sous leurs ordres.

Les premières rumeurs, sur une possible attaque ayant ciblée Yahoo, ont fait leurs apparitions en Août dernier, lorsque Peace, le tristement célèbre acteur incontournable de darknet, et fournisseur d’un volume de données colossal depuis des années déjà, était en train d’essayer de vendre des informations relatives à quelques 200 millions de comptes Yahoo.

Pour des raisons inexpliquées, Yahoo n’a pas demandé à ses utilisateurs de réinitialiser leurs mots de passe, quand l’information concernant cette attaque est sortie pour la première fois le mois dernier.

Une personne bien au fait de ce sujet, a déclaré à Reuters que le rapport du mois dernier s’avérait être faux, malgré le fait que les investigations de Yahoo avait permis de découvrir l’attaque isolée de 2014.

L’entreprise a souligné dans une déclaration faite à l’époque qu’elle “s’engageait à protéger la sécurité des données de ses utilisateurs, et qu’elle prenait très au sérieux ce type d’information. Notre équipe sécurité travaille pour permettre d’établir les faits avec précision”.

Voici les faits en question : en réalité il s’agit toujours du même nom, à savoir Peace (il ou elle se fait appelé(e) peace_of_mind sur le darknet ou bien tout simplement “Peace”), qui a récemment essayer de vendre en ligne des données, provenant d’anciennes failles de sécurité chez Tumblr, LinkedIn ou MySpace.

La faille de sécurité Yahoo les a littéralement tous balayés, selon Troy Hunt, qui répertorie au sein d’un portail dédié les failles de sécurité : Have I Been Pwned ?

Quoi faire ?

Changez votre mot de passe !

Oui, surtout si vous ne l’avez pas fait depuis 2014; changez le maintenant !

De plus, n’oubliez pas de le changer aussi sur les autres sites que vous utilisez. Assurez-vous que chacun de vos comptes en ligne a un mot de passe différent, et choisissez un mot de passe complexe et robuste.

Enfin, c’est aussi une bonne opportunité pour change votre question de sécurité. Si vous faites partie du demi-milliard d’utilisateurs victimes de cette faille de sécurité, vous n’avez pas vraiment le choix, dans la mesure où Yahoo a invalidé à présent vos questions de sécurité pour mieux vous protéger.

Dans une déclaration, Yahoo précise :

Yahoo a informé les utilisateurs potentiellement concernés, et à engager des mesures pour sécuriser leurs comptes.

Ces mesures comprennent l’invalidation des questions de sécurité et de leurs réponses non chiffrées, de manière à empêcher leur utilisation pour accéder à un compte, et la demande de réinitialisation des mots de passe des utilisateurs affectés.

Pourquoi 2 ans pour découvrir cette faille de sécurité Yahoo ?

L’apparition de données, issues de failles de sécurité massives, des années après les attaques en question, est devenue une sorte de mode à l’heure actuelle.

Au cours des derniers mois, nous avons pu voir une multitude de séries de données mises en vente en masse sur le darknet, toutes issues de failles de sécurité vraiment anciennes.

Pour mémoire :

• En Mai, Tumblr avait révélé qu’il venait de découvrir une faille de sécurité remontant à 2013, qui avait affecté les emails de 65 millions d’utilisateurs.
• Le même mois, 164 millions de mots de passe LinkedIn étaient mis en vente sur le darknet. Ils venaient tous d’une faille de sécurité datant de 2012.
• Enfin, l’apparition soudaine de 427 millions de mots de passe, à la suite d’une ancienne faille de sécurité, non signalée chez MySpace.

La faille de sécurité ayant affecté 500 millions de comptes Yahoo s’empare de la première place du classement, comme la liste des précédentes failles de sécurité ci-dessous le montre :

• MySpace: 359 millions de comptes
• LinkedIn: 164 millions de comptes
• Adobe: 152 millions de comptes
• Badoo: 112 millions de comptes
• VK: 93 millions de comptes
• Dropbox: 68 millions de comptes
• Tumblr: 65 millions de comptes
• iMesh: 49 millions de comptes
• Fling: 40 millions de comptes
• Last.fm: 37 millions de comptes

Il y a des rumeurs sur la raison pour laquelle Yahoo a attendu si longtemps avait de révéler cette attaque.

Recode a d’abord rapporté que Yahoo prévoyait de révéler des détails concernant une faille de sécurité affectant des centaines de millions d’utilisateurs.

Mark Warner, sénateur démocrate, et ancien cadre dans le secteur des technologies, a récemment déclaré que “cette faille de sécurité chez Yahoo était très sérieuse”.

Il a proposé la création d’un “Standard de notifications des failles de sécurité”, pour remplacer les lois de notifications des données qui peuvent varier d’un état à un autre. Le sénateur a souligné sa “grande inquiétude” concernant le fait que les utilisateurs aient appris l’existence de cette faille de sécurité, seulement 2 ans après qu’elle ait eu lieu.

Follow @ SophosFrance //platform.twitter.com/widgets.js
Partagez Faille de sécurité Yahoo : 500 millions de comptes concernés. Changez votre mot de passe ! : http://wp.me/p2YJS1-2XG
Billet inspiré de Change your password! Yahoo confirms data breach of 500 million accounts, par Lisa Vaas, Sophos NakedSecurity.