La nouvelle tombe au plus mal pour Yahoo qui doit être racheté pour près de 5 milliards de dollars par Verizon, mais elle est surtout très gênante pour les utilisateurs qui ont fait confiance à Yahoo avec leurs données personnelles. Selon le site Recode, qui dit s’appuyer sur plusieurs sources du dossier, Yahoo devrait confirmer cette semaine que les données de plusieurs centaines de millions d’utilisateurs ont été piratées et probablement mises en vente.
Fin juillet, un pirate qui se fait appeler « Peace » avait affirmé disposer de 200 millions d’identifiants de comptes Yahoo, qu’il vendait pour seulement 3 bitcoins, soit environ 1 600 euros au cours actuel. L’affirmation pouvait être prise au sérieux puisque le même pirate avait déjà diffusé 427 millions d’identifiants MySpace, et 167 millions d’identifiants LinkedIn. Les données de Yahoo contiendraient les noms d’utilisateurs, mots de passe (hashés avec un algorithme MD5), dates de naissance, et des adresses e-mail de récupération. Les enregistrements dateraient de 2012.
En août dernier, Yahoo n’avait pas voulu confirmer la fuite de ces données, et s’était contenté de dire qu’il était « au courant » d’une mise en vente de données censées provenir de ses services. Il n’a pas réinitialisé les comptes pour obliger les utilisateurs à changer de mot de passe, ni prévenu les utilisateurs concernés.
Mais selon les sources de Recode, la fuite de données que Yahoo s’apprêterait à reconnaître officiellement serait « pire, vraiment », que celle annoncée en juillet. On ne sait pas si elle est pire en terme de quantité de comptes concernés, ou en terme d’informations concernées. Le scénario le plus redouté sans doute serait que des pirates aient pu accéder aux comptes et donc aux e-mails stockés, qui eux-mêmes donnent accès à quantité d’autres comptes d’autres services grâce aux renvois ou réinitialisations de mots de passe.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !
