Yahoo révèle avoir été victime d’un second piratage en août 2013 qui a entraîné le vol de données personnelles de plus d’un milliard d'utilisateurs. L'autre attaque, menée en 2014, avait concerné 500 millions de comptes.

2016 restera dans les annales de Yahoo comme une « annus horribilis ». L’entreprise américaine, déjà en très mauvaise posture à la suite de révélations compromettantes survenues plus tôt dans l’année, vient en effet de lever le voile sur un nouvel incident qui est survenue il y a trois ans. Selon son communiqué, le groupe estime que les données de plus d’un milliard de comptes ont été compromis.

« Yahoo considère qu’une tierce partie non autorisé à dérobé, en août 2013, des données liées à plus d’un milliard de comptes d’utilisateurs », écrit la société, ajoutant qu’elle n’a pas été en mesure d’identifier pour l’instant les responsables de cette intrusion. L’incident a été signalé aux autorités américaines, qui travaillent désormais aux côtés de la firme de Sunnyvale pour essayer de remonter leur piste.

Yahoo
CC Piutus

Parmi les informations qui ont pu être dupliquées par les assaillants pourraient figurer les noms, les numéros de téléphone, les adresses de courrier électronique, les dates de naissance, le hash du mot de passe (selon la fonction de hachage MD5, qui n’est plus d’une robustesse à toute épreuve) et, dans certains cas, les questions et les réponses de sécurité, de façon chiffrée ou non, selon les cas de figure.

Yahoo tient tout de même à préciser que les pirates n’ont visiblement pas réussi à prendre les mots de passe en clair ni aucune information bancaire (carte de paiement ou donnée de compte). L’enquête interne a en tout cas montré aucun larcin sur ses données, qui sont stockées sur un système dédié. Celui-ci n’a a priori pas été visité pendant l’attaque ayant eu lieu au mois d’août 2013.

Pas de lien entre les deux affaires

L’annonce de ce piratage ayant eu lieu il y a trois ans fait suite à l’aveu, cet automne, d’un autre attaque informatique. Fin 2014, une opération s’est terminée avec la copie de données sensibles concernant un demi-milliard de comptes. Ces deux casses numériques ne sont toutefois pas liés entre eux, juge Yahoo, qui indique qu’il enverra très bientôt par mail des informations aux utilisateurs concernés.

La confession de Yahoo n’arrangera certainement pas ses affaires, alors que l’entreprise est en grande difficulté financière et sans réelle perspective d’avenir. Elle risque en effet de lourdement peser dans la décision finale de l’opérateur américain Verizon, qui a proposé d’acheter le cœur de métier de la société pour 4,8 milliards de dollars. Ce nouveau coup dur pourrait inciter Verizon à demander un rabais… ou à jeter l’éponge.

À lire sur Numerama : Yahoo piraté  : que doit-on faire pour sécuriser ses données personnelles  ?

Partager sur les réseaux sociaux