200 millions de comptes Yahoo piratés : après l’hypothèse, la confirmation

Sécurité
yahoo-pirate-aveux

Yahoo s’apprêterait à reconnaître le piratage massif dont on le dit victime. Le bilan pourrait être encore plus lourd qu’on ne le pressent.

(Update 23/09/16 à 3h00) Yahoo a confirmé jeudi soir le vol massif de données : au moins 500 millions de comptes de ses utilisateurs ont été piratés en 2014 par ce que le groupe Internet californien présente comme un « agent piloté par un Etat ».

Les signaux dans ce sens se sont multipliés, entre les utilisateurs qui reçoivent des e-mails les invitant à renforcer la sécurité de leur compte… et ceux dont le mot de passe a tout simplement été réinitialisé « pour cause d’activité suspecte ».

Du côté de Recode, on affirmait, avec l’appui de plusieurs sources dites « proches du dossier », que les révélations tomberaient cette semaine. L’affaire a été officialisée. Mais de quel piratage parle-t-on au juste ?

Pirater en paix

Remontons quelques semaines en arrière, plus précisément au début du mois d’août. On apprenait que des informations prétendument rattachées à 200 millions de comptes Yahoo étaient proposées à l’achat sur le darkweb.

Exerçant sous le pseudo « Peace », le vendeur n’est pas inconnu au bataillon : il a déjà monnayé, sur la même place de marché baptisée « The Real Deal », de nombreux jeux de données qu’il présente comme associés à des piratages d’ampleur. Illustration avec 167 millions d’adresses e-mail et 117 millions de mots de passe utilisés sur LinkedIn.

Le réseau social professionnel, qui a reconnu avoir subi un assaut au printemps 2012, n’a jamais confirmé l’authenticité des informations vendues par « Peace », malgré les correspondances établies par des chercheurs en sécurité. Il a toutefois, officiellement par « mesure de précaution », réinitialisé les données d’authentification de tous les membres qui ne les avaient pas modifiées au moins une fois… depuis le printemps 2012.

200 millions, qui dit mieux ?

À l’origine du site « Have I been pwned ? », qui répertorie les pseudos et adresses électroniques piratés, Troy Hunt se montre généralement affirmatif à l’égard de l’authenticité de la marchandise de « Peace ». Il y a encore quelques heures, il l’était beaucoup moins sur l’affaire Yahoo, malgré les constats établis par le média spécialisé Vice*, auquel le pirate fournit régulièrement des échantillons en guise de preuves.

Le ton a changé depuis que l’intéressé a lui-même reçu un message lui demandant de changer de mot de passe et de confirmer son numéro de téléphone. Les sources de Recode sont dans la même lignée. L’une d’entre elles estime même que le bilan risque d’être plus lourd que celui qu’on pressent.

On surveillera l’impact que cet épisode pourrait avoir sur la vente du cœur de business de Yahoo à Verizon. D’autant plus que les mots de passes piratés pourraient être facilement déchiffrables, car hachés avec l’algorithme MD5.

* « Peace » avait notamment assuré à Vice avoir commercialisé pendant un temps les données en privé, avant de se décider à les vendre sur « The Real Deal », pour 3 bitcoins, soit environ 1600 euros au cours actuel de la crypto-monnaie.

Lire aussi :

Lire la biographie de l´auteur  Masquer la biographie de l´auteur