Un document produit par Yahoo et destiné aux investisseurs révèle que la société américaine évalue à 32 millions le nombre de comptes qui ont été affectés par des cookies falsifiés.

À la mi-février, Yahoo a adressé des courriers d’avertissement à un certain nombre de ses utilisateurs pour les mettre en garde sur une possible compromission de leur compte. La raison ? Le portail web estime qu’un outil lui permettant de fabriquer des témoins de connexion — les fameux cookies — a été dérobé lors du piratage de ses infrastructures fin 2014 et qui a affecté plus de 500 millions de comptes.

Jusqu’à présent, Yahoo n’avait pas communiqué d’évaluation précise sur le nombre de personnes affectées par cet incident. C’est désormais chose faite. Au détour d’un document destiné aux investisseurs, la société révèle que ce sont près de 32 millions de comptes qui ont vraisemblablement été ciblés par des cookies falsifiés qui ont été conçus grâce à l’outil de Yahoo.

« En novembre et décembre 2016, nous avons révélé que les experts en informatique légale extérieurs auxquels nous avons fait appel ont enquêté sur la création de cookies falsifiés qui peuvent autoriser un intrus à accéder aux comptes des utilisateurs sans mot de passe. À partir de cette enquête, nous croyons qu’un tiers non autorisé a accédé au code propriétaire de l’entreprise pour apprendre à créer certains cookies », commente la firme.

Les spécialistes « ont identifié environ 32 millions de comptes appartenant aux utilisateurs pour lesquels ils pensent que des cookies falsifiés ont été utilisés ou récupérés entre 2015 et 2016. Nous pensons qu’une partie de cette action est connectée à la même entité ayant un appui étatique qui est considérée comme responsable de l’incident de sécurité de 2014 » poursuit Yahoo.

À cette occasion, l’entreprise a rappelé que tous les cookies falsifiés qu’elle a détectés ont été rendus inopérants de façon à ce qu’ils ne puissent plus servir à entrer dans un compte sans le mot de passe.

À lire sur Numerama : Yahoo alerte sur des cookies falsifiés utilisés pour accéder aux comptes

Partager sur les réseaux sociaux