Yahoo confirme un vol de données sur plus de 500 millions de comptes
Une paille
Le 23 septembre 2016 à 06h30
3 min
Internet
Internet
Yahoo vient de confirmer que des pirates qui auraient été « soutenus par un État » ont dérobé des informations sur plus de 500 millions de comptes. Verizon, qui est en train de racheter une partie de cette société, évalue la situation.
En août dernier, un pirate connu sous le pseudo Peace mettait en vente des informations de 200 millions de comptes Yahoo, c'est du moins ce qu'il prétendait. La société n'avait pas confirmé une fuite de données à l'époque. Finalement, elle a annoncé hier soir avoir subi l'une des plus grosses fuites de données personnelles de l'histoire. En effet, ce sont pas moins de 500 millions de comptes utilisateurs qui sont concernés. Il n'est par contre pas précisé si les 200 millions de comptes dont parlait Peace sont compris dans le lot.
Quoi qu'il en soit, la société explique que les données ont été dérobées fin 2014 par un ou plusieurs pirates qui auraient été « soutenus par un État » affirme-t-elle. Yahoo n'avance par contre aucune preuve ou explication pour corroborer ses dires.
Des informations en clair, des empreintes de mots de passe
Concernant les données dérobées, la liste est également assez impressionnante puisqu'il est question des noms, adresses email, numéro de téléphone, date de naissance, empreinte (hash) de mot de passe (en majorité via bcrypt, selon la société), mais aussi des questions de sécurité et les réponses associées. Problème supplémentaire, ces dernières n'étaient pas toujours chiffrées. Yahoo précise que « l'enquête en cours suggère » qu'aucun mot de passe non protégé n'a été dérobé, pas plus que les informations bancaires qui étaient stockées dans un autre système.
L'éditeur informe évidemment ses utilisateurs potentiellement touchés par email (dont voici une copie en PDF) et leur demande de changer leur mot de passe sans attendre, y compris sur des sites tiers où le même a été réutilisé. Il conviendra également de faire de même avec les questions de sécurité si les mêmes ont été utilisées sur d'autres services. Par prudence, tous les utilisateurs de Yahoo qui n'ont pas changé ces informations depuis 2014 devraient le faire sans attendre.
Si vous êtes à la recherche d'un bon mot de passe, sachez que nous avons consacré un dossier à cette problématique. Nous avons également mis en ligne un dossier sur des gestionnaires de mots de passe : 1Password, Dashlane et KeePass pour le moment.
Verizon étudie l'impact de cette annonce
Cette histoire pourrait avoir d'autres répercussions, notamment sur le rachat de son activité Internet par Verizon pour 4,8 milliards de dollars. Dans un communiqué transmis à plusieurs de nos confrères, dont le Financial Time, l'opérateur explique qu'il n'a été informé de cette brèche qu'il y a deux jours (le rachat a été signé en juillet) et qu'il a pour le moment « des informations et une compréhension limitées de l'impact » de cette fuite de données.
« Nous évaluerons la situation à travers le prisme des intérêts globaux de Verizon pendant que l'enquête se poursuit » ajoute le groupe, qui se refuse pour le moment à tout autre commentaire. Toujours selon nos confrères, Yahoo pourrait payer jusqu'à 145 millions de dollars de frais si la rupture du contrat devait intervenir. Cette histoire n'est donc pas encore terminée.
Yahoo confirme un vol de données sur plus de 500 millions de comptes
-
Des informations en clair, des empreintes de mots de passe
-
Verizon étudie l'impact de cette annonce
Commentaires (51)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 23/09/2016 à 06h46
Ils n’ont pas voler de trucs de fou non plus…
Le 23/09/2016 à 06h59
Le 23/09/2016 à 07h15
Tiens, cette news m’a fait penser que j’avais un compte sur yahoo.
Jusqu’à il y a 5 minutes.
Le 23/09/2016 à 07h18
Est-ce que Yahoo était au courant de ce vol de données depuis fin 2014? 
" />
" /> quand même)
… ou l’ont-ils appris en août dernier? (
Dans leur lettre, ils laissent supposer qu’ils l’ont découvert récemment (“A recent investigation”), mais j’ai un peu de mal à le croire :/
Le 23/09/2016 à 07h18
500 millions ! C’est le record non ?
Ca concerne la totalité des comptes Yahoo ? Ca m’étonne déjà qu’ils en aient autant…
Le 23/09/2016 à 08h51
Sauf qu’il suffit de mettre en réponse un truc qui n’a rien à voir avec la question de sécurité…
Le 23/09/2016 à 08h52
Tu parles de Mr Robot
" /> ?
Le 23/09/2016 à 08h53
yahoo mail est beaucoup plus utilisé que tu ne le crois. C’est même la valeur principale de cette société.
Pour moi, c’est mon compte mail principal pour tout ce qui est personnel.
Au bout d’un moment, c’est assez difficile de changer de compte mail quand il t’a servi à t’inscrire un peu partout.
Edit :
Dans l’article NXI qui annonçait le rachat de yahoo, on peut lire :
l’un des services email les plus populaires avec environ 225 millions d’utilisateurs actifs
et que les utilisateurs actifs mensuellement sur tout yahoo sont de 600 millions et 1 milliard au total.
Le 23/09/2016 à 09h06
Mine de rien, en totalisant les 11 plus gros piratages, on dépasse les 1580 millions de comptes piratés.
Le 23/09/2016 à 09h29
Je l’ai changé hier dès que j’ai eu vent de l’affaire, mais pas de mail recu pour le moment de la part de yahoo (à part celui pour me dire que j’ai changé mon mot de passe…!)
Le 23/09/2016 à 09h30
Le 23/09/2016 à 09h35
Suffit aussi d’être organisé, je ne vais pas étaler plus …
Le 23/09/2016 à 09h37
Le 23/09/2016 à 09h38
D’après toi ?
Cela fait 6 mois MINIMUM que les gars ont exploité toutes l’infra. donc l’effet domino, on en reparles dans 6 à 12 mois.
VIVE LE CLOUD !
Le 23/09/2016 à 09h41
Si t’es organisé, tu ne perds pas tes mots de passe, donc pas besoin de question de sécurité.
Le 23/09/2016 à 09h47
Je n’ai jamais dis que que les perdais…
Malgré tout, 2 points :
1 - çà peut quand même arriver (et je ne parle pas que de moi, bien evidemment)
2 - quand les questions secrètes sont obligatoires
Le 23/09/2016 à 09h59
Le 23/09/2016 à 10h03
Ahh yahoo…et MArissa leur CEO… de la pure hype qui a fait pschitt…elle a claqué de l’argent, et maintenant sa boite ne vaut plus rien…. Et le fait de mentir à ses clients dont je fais parti…du bol qu’il n’y ait pas de Class action en France…Elle va finir virée à faire des conf super rémunérées
Le 23/09/2016 à 10h44
Le 23/09/2016 à 10h50
La véritable info ici :
" />
Il y a encore 500M de gens qui utilisent Yahoo aujourd’hui ?
Le 23/09/2016 à 10h57
Le 23/09/2016 à 07h20
C’est le record en effet, le précédent était détenu par MySpace, avec la fuite de 359M de comptes en 2012 (mais ça ne s’est su qu’en 2016).
Le 23/09/2016 à 07h33
Pensez à vérifier vos mails sur ce site :https://haveibeenpwned.com/.
" />
C’est un groupe de recherche en sécurité qui propose un service sympa d’alerte en cas de fuite de base de donnés dans le genre. Ils m’ont prévenu deux fois des mois avant Adobe & 000webhost.
Le 23/09/2016 à 07h38
2014, belle réactivité.
" />
Le 23/09/2016 à 07h40
Le 23/09/2016 à 07h55
Marissa Mayer est pleine de surprise. Je suis pas sur qu’on va la revoir d’aussi tôt à la tête d’une entreprise elle commence à trainé un peu trop de casserole
" />
Le 23/09/2016 à 07h56
J’ai changé mon mot de passe le 7/10/2014 suite à un comportement douteux de mon compte. Je ne me souviens pas des détails.
Comme ils parlent de fin 2014, est-ce que cela pourrait correspondre ?
Je viens d’activer la double authentification et désactiver les questions de sécurité à la con.
Dans le doute, je vais quand même changer le mot de passe.
Le 23/09/2016 à 07h58
“L’éditeur informe évidemment ses utilisateurs potentiellement touchés par email”
" />
Donc si je n’ai pas reçu d’email c’est que mon compte ne fait pas parti des pwned ou que yahoo est aussi mauvais en sécurité qu’en communication ?!
Le 23/09/2016 à 08h02
Le 23/09/2016 à 08h18
Je me souviens avoir du changer de mot de passe début 2015 en suivant leurs recommandations.
C’est donc de l’histoire ancienne, réchauffée à dessein.
Juste au moment où une négociation est en cours … étrange non ?
Le 23/09/2016 à 08h20
Le 23/09/2016 à 08h29
Le retour des chinois du FBI!! Ça me rappelle une série avec une saison 2 bien plus pourrie…
Le 23/09/2016 à 08h32
J’ai aussi un compte “poubelle” plus jeu ou je ne peut pas changer l’adresse mail de connexion (cf world of war tank)
Et la récupération de mot de passe ne fonctionne pas !!
Je ne reçois pas le code de vérification sur mon adresse de secoure hotmail
Le 23/09/2016 à 08h40
Genre Yahoo a 600 millions de clients ! 
" />
Le 23/09/2016 à 08h43
Le 23/09/2016 à 08h49
Tu peux savoir quand tu as modifié ton mot de passe pour la dernière fois dans “Activité récente” de ton compte yahoo.
Tu peux donc répondre à ta question et nous tenir informé aussi. Merci d’avance.
Le 23/09/2016 à 11h20
Vachement rassurant tout ça. Je suis toujours étonné de voir que des infos aussi sensibles soient encore stockées en clair…Il y a un manque de sérieux flagrant…
Il y a quoi comme boite mail sympa, sérieuse, assez bien sécurisée ?
Le 23/09/2016 à 11h33
Le 23/09/2016 à 12h00
Moi je migre petit à petit sous openmailbox
Le 23/09/2016 à 12h04
flickr utilise un compte yahoo
" />
" />
ça aide a avoir des “clients”
Le 23/09/2016 à 12h31
Voilà une bonne occasion de m’investir davantage dans la protection et la gestion de mes données sensibles. A force de voir des dossiers sur les gestionnaires de mots de passe sur NXi et de lire vos retours sur le sujet, je me suis enfin mis à Keepass. Ma DB est protégée par une passphrase + fichier clé. Et je synchronise via google drive qui ne contient que la DB sans le fichier clé bien sûr. Pour synchroniser avec mon smartphone, Keepass2Android fait merveilleusement le job. Ajouter keefox sur le pc pour me faciliter la vie sur firefox et c’est le bonheur. L’occasion de changer mes mots de passe pour les sites les plus sensibles et courants. Me souvenir que d’un seul mot de passe, ça va me faire des vacances. Y a plus qu’à espérer que Keefox et Keepass2Android vont pas se faire trouer
" />
Le 23/09/2016 à 13h03
Lis l’article
" />
Le 23/09/2016 à 13h12
Ils sont toujours vivant ?
Le 23/09/2016 à 14h16
J’ai relu et je ne vois pas le nombre d’abonnés total
" />
Le 23/09/2016 à 14h48
je lis ça :
http://www.silicon.fr/piratage-yahoo-experts-securite-interrogent-158389.html
“Les experts sécu s’interrogent” : ben ca fait plus de 40 ans qu’ils s’interrogent et ils ne protègent pas des hacker sérieux … alors … qu’ils continuent de .. .s’intérroger, y’aura toujours des cons pour acheter leur solution backdooré et passoiré !
parefeu, sonde, dpi : le commerce de la peur.
On est juste en train de préparer les masses a ne plus avoir de vie privée : vos données TOUT le monde les a … déjà ! pourquoi attendre ?
C’est big brother 1974.
Le 23/09/2016 à 14h49
alors plus qu 6 milliards encore … lol
Le 23/09/2016 à 14h52
je lis :
“Question suivante : quel Etat se cacherait derrière ce méga vol de données ? Pour expliquer ce vol, Yahoo met en avant dans un communiqué, un « acteur parrainé par un Etat ». Par contre, il se garde bien de donner un nom sur la potentielle Nation. On peut bien sûr penser aux Etats traditionnellement soupçonnés par les Etats-Unis : Chine, Russie ou Corée du Nord.
En savoir plus surhttp://www.silicon.fr/piratage-yahoo-experts-securite-interrogent-158389.html#oL…
Corée du nord … faudra être cohérent un peu les propagandeux : on nous disaient que la CdN ne dispose que de 28 sites
http://www.latribune.fr/technos-medias/internet/en-coree-du-nord-l-internet-ne-c…
http://www.silicon.fr/hackers-carte-internet-nord-coreen-158342.html
Le 23/09/2016 à 15h28
Mon compte principal est sur Yahoo, tous mes autres comptes (genre si je perds mon mot de passe) arrive dessus. Que puis-je choisir comme autre mail, un peu plus fiable, pour centraliser mes accès ? Qu’utilisez-vous ?
Le 23/09/2016 à 17h30
Ah… on pouvait ouvrir un compte sur yahoo ?
" />
#so_90s
Le 24/09/2016 à 06h38
Le 26/09/2016 à 11h28
[…] adresses email, numéro de téléphone, date de naissance […]
Ça donne tellement (pas) envie de souscrire à l’authentification à deux facteurs ce genre de news…