Yahoo s'est fait piller 500 millions de comptes utilisateurs

Pour beaucoup, Yahoo est un moteur de recherche, peut-être une page web informative et très certainement un fournisseur de messagerie courriel. Mais ça n'est qu'une partie de leur activité, car Yahoo c'est aussi un grand nombre de services et pour accéder à ces derniers, de comptes utilisateur. La firme n'est pas au mieux de sa forme ces dernières années, elle a eu le droit à un recours collectif aux Etats-Unis d'Amérique pour indiscrétion dans les courriels de ses utilisateurs et n'a pas réussi à tenir face à la concurrence (majoritairement par la faute de Google et Microsoft dont les services ont la préférence des utilisateurs) et a fini par se faire racheter par Verizon.

Le nouveau propriétaire aurait certainement apprécié de savoir à l'avance ce qui vient de se passer. Un rapport de brèche datant d'août et qui s'est rapidement montré comme faux a permis aux équipes de Yahoo de détecter une autre brèche, plus ancienne et plus qu'impressionnante. C'est directement par Yahoo que l'on apprend aujourd'hui que 500 millions de comptes utilisateurs ont pu être récupérés par des pirates à la fin 2014, comprenant nom, prénom, date de naissance, adresse courriel, mot de passe haché et salé (majoritairement avec Bcrypt) et dans certains cas leur question secrète et sa réponse (chiffrée ou en clair). Les informations de comptes et cartes bancaires étant stockées ailleurs, ces dernières ne sembleraient pas avoir été touchées.

500 millions de comptes ! Ca en fait du monde à prévenir qu'ils peuvent être piratés depuis deux ans. Yahoo a commencé à envoyer des salves de courriels à ce sujet, mais on en remet une couche pour ceux qui ne l'auraient pas encore reçu. Changez votre mot de passe et modifiez votre question secrète (qui a normalement été invalidée par la firme depuis). La meilleure sécurité reste celle que vous mettez en place pour vous protéger, car même le service de sécurité informatique le plus costaud ne peut pas être partout. Pour ceux qui sont curieux de savoir où en est leur enquête au sujet des pirates, il semblerait d'après eux que la chose ait été commanditée par un état (les ingénieurs états-uniens y voient un procédé déjà utilisé par les russes). On n'en saura certainement jamais plus et ça fait plus classe pour la firme que d'avouer que Jean-Kévin a réussi cette prouesse tout seul dans son coin.

Du côté de Verizon, ça pourrait leur permettre de se rétracter (une close dans le contrat de vente les protège en cas d'une trop grande perte de valeur de leur acquisition) ou de renégocier la valeur de leur investissement. Ca n'a en tous les cas pour l'instant pas perturbé le géant de la communication qui attend apparemment de voir comment les choses vont évoluer avant d'agir, malgré le fait que cette faille soit la plus grosse jamais connue sur la toile !