Yahoo a révélé avoir été piraté en août 2013 et fin 2014. Des informations concernant la totalité des comptes se sont retrouvées dans la nature. Si vous êtes inscrit sur le portail web, voici des mesures que vous pouvez prendre pour mieux vous protéger.

Avec les annonces de Yahoo confirmant que son réseau informatique a bien été piraté à deux reprises, en août 2013 et fin 2014, ce qui a entraîné la subtilisation d’informations sensibles provenant de trois milliards de comptes, beaucoup d’utilisateurs se demandent sans doute ce qu’ils peuvent faire pour sécuriser leur accès et éviter qu’un tiers ne puisse venir fouiller dans leur boîte aux lettres ou faire des changements indésirables.

Disons-le tout net : en matière de sécurité informatique, Yahoo a une responsabilité bien plus grande que celle de l’utilisateur. Si ce dernier est aussi un maillon — certes la plupart du temps fragile — de la chaîne de sécurité, c’est bien le portail web qui met à disposition du public un service. C’est donc à lui de faire le maximum pour être au sommet de l’état de l’art en matière de sécurité et d’être toujours à l’initiative.

yahoo-675.jpg

Cela étant dit, l’internaute dispose de quelques leviers pour agir.

Il est en effet possible de prendre deux ou trois mesures qui renforceront la sécurité du compte. Cela ne le rendra pas impénétrable (il peut existe d’autres façons de le pirater ; il n’est pas toujours nécessaire de chiper l’identifiant et le mot de passe), mais cela évitera qu’on puisse exploiter les données de connexion de votre compte si jamais elles figurent dans le lot des informations qui a été dérobé en 2014.

Changer son mot de passe

C’est le premier réflexe à avoir, surtout si vous ne l’avez pas modifié depuis des lustres. Allez sur le site de Yahoo, connectez-vous et rendez-vous dans les paramètres du compte. Il vous sera peut-être demandé de retaper votre mot de passe par sécurité. Cliquez ensuite sur « sécurité du compte » puis sur « modifier le mot de passe ». Inscrivez alors le nouveau code d’accès que vous comptez utiliser.

Il va sans dire que vous devez prendre soin à ne pas utiliser un mot de passe comme par exemple « abc123 » ou « médor91 ». Vous devez autant que possible mélanger des lettres, des chiffres, des minuscules, des majuscules, des caractères spéciaux, de façon à ce qu’il n’y ait aucune logique apparente dans le code et qu’il soit long. Il faut aussi pouvoir le retenir. « 0{RfkX7=t+y,viq^|98nDCç » est solide, mais complexe à mémoriser.

Une solution alternative est de choisir un moyen mnémotechnique illustré dans cette BD de XKCD. Il va sans dire que le mot de passe que vous allez choisir doit être unique : il ne doit pas avoir été utilisé sur un autre service sur lequel vous êtes inscrit. Et si celui que vous utilisiez sur Yahoo est réemployé ailleurs, vous feriez mieux de faire les changements qui s’imposent.

Yahoo

Activer la vérification en deux étapes

Yahoo est un service qui propose la double authentification. Toujours sur la page dédiée aux paramètres du compte, à la rubrique « sécurité du compte », activez l’option de la « vérification en deux étapes ». Vous devrez alors associer votre numéro de téléphone à votre compte de manière à recevoir un code temporaire par SMS. Celui-ci devra être donné lors de la connexion, après avoir renseigné votre mot de passe.

La vérification en deux étapes est utile au cas où vous vous faites dérober le mot de passe. Celui qui l’aurait éventuellement en sa possession se retrouverait coincé : il passerait certes le premier niveau de sécurité, mais se retrouverait bloqué au second. En effet, il lui faudrait accéder à votre  smartphone pour pouvoir lire le SMS envoyé par Yahoo contenant le code temporaire. C’est loin d’être à la portée du premier venu.

Yahoo

Vérifier l’activité de votre compte

Yahoo propose dans une autre rubrique de voir l’activité récente de votre compte. Dans ce tableau de bord, vous pouvez voir quels sont les grands changements ayant trait à l’accès du compte (vous pouvez par exemple voir l’historique contenant tous les changements de mot de passe, avec à chaque fois la date).

Il est aussi possible de visualiser quels sont les sessions en cours, l’historique des sessions et un certain nombre d’autres éléments (la date de la session, et l’adresse IP) qui sont un bon moyen de vérifier si les connexions à votre compte semblent normales (elles se font depuis votre domicile, votre smartphone, votre lieu de travail…) ou si elles ont l’air de venir d’ailleurs.

Yahoo

Désactiver la question de sécurité

Vous utilisez une question de sécurité au cas où vous ne vous souviendriez plus de votre mot de passe ? Yahoo propose de les désactiver pour la simple et bonne raison qu’une personne mal intentionnée douée en matière d’ingénierie sociale pourrait vous forcer à les révéler, en vous contactant par mail ou par téléphone en vous faisant croire qu’il s’agit d’un technicien du service et que c’est une procédure normale.

Même si vous n’êtes pas ce cas là, certaines réponses aux questions de sécurité peuvent tout simplement être retrouvées en fouillant sur les réseaux sociaux. Les internautes étant plutôt bavards, il est possible de retrouver toutes sortes d’informations sur le net pour peu que celui qui veut pirater votre compte a du temps à consacrer à cette tâche. Car en effet, les réponses aux questions de sécurité sont censées être simples, justement pour que l’usager légitime puisse les retrouver facilement.

Yahoo

Faut-il fermer son compte ?

Reste un point sur lequel il n’est pas possible de répondre en général, tout dépendra de l’usage que vous avez de votre compte Yahoo. Est-il conseillé de le supprimer ? Avec toutes ces révélations, on comprend le désir de certains de vouloir passer sur un autre service et en finir avec le portail web, celui-ci ayant failli à sa tâche. Il existe une procédure très simple à suivre pour supprimer son compte Yahoo.

Cependant, il faut savoir que la suppression du compte entraîne le recyclage par Yahoo de l’identifiant qui était le vôtre jusqu’à présent. La mesure n’est pas nouvelle : elle est active depuis 2013.

Si votre identifiant n’est pas directement lié à votre identité (comme « LeBeauGosseDu75 » par exemple, pour draguer sur les sites de rencontres), vous pouvez sans doute l’abandonner sans crainte, en prévenant préalablement les contacts qui étaient en relation avec vous à travers ce mail. Mais si vous utilisiez une combinaison de type votre prénom + votre nom, cela veut dire que quelqu’un pourrait le récupérer.

Et se faire potentiellement passer pour vous (la probabilité est certes assez minime, mais ce n’est peut-être pas le genre de statistiques que l’on a envie de mettre à l’épreuve).

Partager sur les réseaux sociaux