Yahoo alerte sur des cookies falsifiés utilisés pour accéder aux comptes
Si 2016 a été une année horrible pour Yahoo, 2017 ne débute visiblement pas sous les meilleurs auspices.
Pour accéder aux comptes, les assaillants se sont servis de cookies falsifiés de façon à ne pas avoir besoin de connaître les mots de passe qui servent à les protéger. C'est en tout cas la piste que suggère Yahoo dans son mail. L'enquête que la société est en train de mener suggère que des accès frauduleux ont eu lieu en 2015 et 2016.
Les cookies, rappelons-le, sont des témoins de connexion qui contiennent plusieurs informations pour permettre à un site web de reconnaître un internaute qui est déjà venu. Déposé sur le disque dur de l'ordinateur, le cookie sert par exemple à conserver les préférences de l'internaute entre deux visites.
Dans un communiqué daté du 14 décembre, Yahoo indiquait que le code source de l'un de ses outils servant à fabriquer des cookies a vraisemblablement été dérobé au cours de l'une des attaques informatiques dont l'entreprise américaine a fait l'objet ces dernières années.
Cookies falsifiés
Le portail ajoutait avoir identifié les comptes pour lesquels des cookies falsifiés ont été employés, de façon à pouvoir y accéder sans avoir besoin d'entrer le moindre mot de passe. Ces derniers ont depuis été avertis par courrier et les témoins de connexion incriminés ont été invalidés.
Yahoo « a relié une partie de ces faits au même acteur commandité par un État qui serait responsable du vol de données que la compagnie a divulgué le 22 septembre 2016 », écrivait encore la compagnie, en référence au piratage de son infrastructure à la fin 2014 et qui a affecté plus de 500 millions de comptes.
À la différence des précédentes attaques ayant visé Yahoo, qui ont rendu vulnérables des données relativement anciennes (ce qui ne les rend pas sans valeur, loin de là), l'utilisation de cookies falsifiés en 2015 et 2016 laisse à penser que les assaillants ont pu accéder à des informations plus récentes.
Toute l'enjeu est de savoir l'ampleur des comptes touchés par ces cookies falsifiés. Or pour l'instant, Yahoo reste discret sur la question : s'il alerte effectivement toutes les personnes potentiellement exposées, le groupe n'a donné aucune estimation chiffrée du nombre de victimes supposées.