Un mystérieux hacker se présentant sous le pseudo « Peace », un média spécialisé baptisé Vice et un chercheur dénommé Troy Hunt : on prend les mêmes et on recommence ?
Impliqué dans le récent retour au premier plan d’un piratage subi en 2012 par LinkedIn, le trio fut aussi dernièrement à la pointe des révélations sur l’ampleur d’une attaque dont Tumblr avait été victime en 2013.
Cette fois-ci, c’est pleins feux sur Yahoo, avec plus ou moins le même mode opératoire. À ceci près que Troy Hunt est beaucoup moins affirmatif qu’il avait pu l’être dans les deux autres dossiers.
Pour le reste, « Peace » s’est à nouveau appuyé sur Vice pour revendiquer un vol massif de données ; rattachées, en l’occurrence, à 200 millions de comptes ouverts chez le groupe Internet américain qui vient de tomber dans le giron de Verizon.
Après avoir pendant un temps monnayé ces données « en privé », le hacker s’est décidé à les vendre via « The Real Deal ».
L’intéressé a ses habitudes sur cette place de marché du darkweb au travers de laquelle il a déjà commercialisé, entre autres, un jeu de données censé contenir 167 millions d’e-mails et 117 millions de mots de passe résultant du hack de LinkedIn susmentionné.
Une fois encore, la maison n’accepte qu’une seule devise : il faut payer 3 bitcoins – soit environ 1 500 euros – pour accéder au fichier qui, d’après les échantillons transmis à Vice, renferme des noms d’utilisateurs, des adresses e-mail, des dates de naissance… et des mots de passe hachés avec l’algorithme MD5, donc assez facilement déchiffrables.
Sur une vingtaine d’e-mails testés, la plupart correspondent effectivement à des comptes actuellement ouverts chez Yahoo. En revanche, un grand nombre de ces adresses de messagerie ne sont plus joignables.
Du côté de Yahoo, on confirme avoir lancé une enquête. Mais on ne se prononce pas sur l’authenticité des données en question. Pas non plus de réinitialisation de mots de passe dans les cartons, en tout cas pour l’heure.
« Peace » avait aussi mis en vente, toujours sur « The Real Deal », des informations associées à plus de 360 millions de comptes MySpace. L’échantillon fourni avait illustré une protection des mots de passe largement insuffisante, sans salage (ajout de chiffres aléatoires à la fin de hashs) et avec l’algorithme SHA1, aujourd’hui considéré comme obsolète.
Crédit photo : Mclek – Shutterstock.com
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…