Record battu pour Yahoo.
Le groupe Internet se dit convaincu d’avoir été victime, à l’été 2013, d’un piratage qui a exposé des informations associées à plus d’un milliard de comptes d’utilisateurs.
D’après les résultats de l’enquête menée avec des experts en sécurité informatique, l’incident est « probablement sans lien » avec le vol massif de données* officialisé fin septembre… et dont le bilan était déjà sans précédent (au moins 500 millions de comptes).
Ces conclusions sont basées sur l’analyse d’informations transmises le mois dernier par les forces de l’ordre, qui les avaient elles-mêmes reçues d’une « tierce personne ».
Sur la liste figurent des noms, des numéros de téléphone, des dates de naissance, des adresses électroniques, des mots de passés chiffrés avec l’algorithme MD5 (plus vulnérable que bcrypt, que Yahoo commençait tout juste à mettre en place à l’été 2013) et, « dans certains cas, des questions de sécurité [permettant de réinitialiser le mot de passe, ndlr], chiffrées on non ». En revanche, pas de données de paiement et d’informations bancaires, « stockées autre part ».
Les utilisateurs concernés sont invités à modifier leur mot de passe. Les éventuelles questions de sécurité qu’ils avaient définies ont été supprimées si elles n’étaient pas chiffrées.
Yahoo saisit l’occasion pour fournir quelques détails supplémentaires sur le hack annoncé en septembre.
Le dernier rapport trimestriel de la société faisait mention d’un agent « piloté par un État » et qui aurait notamment créé des cookies pour pouvoir accéder de manière récurrente à certaines données sans avoir à s’identifier.
Cette piste se confirme. L’agent en question serait parvenu à accéder à du code propriétaire et ainsi à comprendre comment concevoir lesdits cookies… qu’il aurait d’ailleurs récemment réutilisés.
* Yahoo a retenu, à ce titre, des charges d’un million de dollars sur ses comptes du 3e trimestre. La firme craint surtout que l’épisode ne remette en cause l’accord à 4,8 milliards de dollars signé fin juillet avec Verizon, qui s’est porté acquéreur de ses principales activités dans les services Web.
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…