Le portail web annonce que son infrastructure a bien été piratée fin 2014, conduisant à la fuite de données concernant plus de 500 millions de comptes. Le groupe soupçonne un État d'être derrière l'attaque.

La confirmation est venue jeudi lors de la publication d’un communiqué, confirmant les informations de la presse publiées au cours des derniers mois et devenues plus précises cette semaine. Yahoo a bien été piraté dans le cadre d’une attaque survenue fin 2014, vraisemblablement par une entité soutenue par un État. Au total, le portail web estime que les données de plus de 500 millions de comptes ont été dérobées.

À la question de savoir quel pourrait être le pays qui est derrière ce piratage de très grande ampleur, la société américaine ne fournit aucune réponse. Sans doute a-t-elle une petite idée de qui pourrait se cacher derrière le groupe à l’origine de l’opération, confortée on l’imagine par des indices qui ont été glanés pendant l’enquête interne, mais il n’est pas question de se livrer à des accusations à l’emporte-pièce.

Yahoo soupçonne un groupe parrainé par une puissance étrangère

Ce qui est sûr par contre, c’est que Yahoo coopère pleinement avec les autorités pour permettre aux investigations d’avancer et planche sur des solutions techniques pour renforcer un peu plus la fiabilité et la sécurité de son infrastructure informatique. En attendant, la firme se contente de faire remarquer que les « intrusions en ligne et les vols de données par des acteurs parrainés par un État sont devenus de plus en plus courants dans l’industrie high-tech ».

Dans la foulée des révélations faites par Edward Snowden au cours de l’été 2013, Yahoo, dont le nom est revenu à de nombreuses reprises dans les documents confidentiels de la NSA, avait annoncé diverses mesures  mises en place début 2014 pour renforcer la protection de son réseau. Visiblement, cela n’a pas suffit à tenir à distance ceux qui ont perpétré ce casse exceptionnel.

Quelles sont les données vulnérables ?

Yahoo a donné le détail des informations qui ont été subtilisées : dans le lot, on peut trouver des adresses de courrier électronique, le prénom et le nom d’utilisateurs, des numéros de téléphone, des dates de naissance, des mots de passe hachés (la vaste majorité avec bcrypt) et, dans certains cas, les questions et les réponses de sécurité, une partie étant chiffrées et l’autre non.

En revanche, continue Yahoo, l’enquête n’a pas permis de démontrer que le piratage a exposé les mots de passe non-protégés, les données de cartes de paiement et les informations de compte bancaire. À propos des éléments financiers, Yahoo fait remarquer qu’ils sont stockés sur un autre système qui, à première vue, n’a pas été touché par l’attaque survenue fin 2014.

Yahoo
CC Piutus

À lire l’exposé de Yahoo, il apparaît que toutes les informations conservées par le site ne bénéficiaient pas du même niveau de protection. Si l’usage de Bcrypt est plutôt une bonne nouvelle, le portail semble reconnaître qu’une fraction de ce qu’elle stocke n’est pas chiffrée ou bénéficie d’un degré de chiffrement insuffisant (il est question de mots de passe non-protégés et de questions / réponses en clair).

C’est embêtant à plus d’un titre : d’abord parce que certaines de ces informations sont objectivement très sensibles (la combinaison de la question / réponse de sécurité sert à réinitialiser un mot de passe pour en créer un nouveau, par exemple) ; ensuite parce que les révélations survenues en 2013 auraient dû pousser Yahoo à définir une politique de sécurité dans les réseaux encore plus exigeante.

À lire sur Numerama : Yahoo devrait confirmer la fuite de données de centaines de millions d’internautes

Partager sur les réseaux sociaux

Articles liés