Courant 2014, Yahoo avait été victime d’une vaste opération de piratage, et le groupe avait alors publiquement annoncé qu’entre 400 000 et 500 000 comptes avaient été touchés.
Mais la publication de plusieurs millions d’identifiants par un hacker sur le web durant l’été 2016 avait réouvert l’affaire, prouvant indéniablement que l’attaque avait eu une portée bien supérieure à celle qu’avait bien voulu présenter Yahoo.
Une attaque probablement commanditée par un État
Courant août 2016, le hacker Peace of Mind a mis en vente sur le Darknet plus de 200 millions d’identifiants d’utilisateurs de comptes Yahoo. Ces données dérobées provenant du piratage réalisé en 2012, Yahoo avait été alors bien loin du compte à l’époque en évoquant la fuite de données de “seulement” 450 000 comptes. Par ailleurs, le cybercrimminel était loin d’être un novice puisqu’il était déjà derrière des vols de comptes LinkedIn et MySpace.
Moins d’un mois plus tard, second coup de tonnerre : Yahoo annonce qu’il y a en réalité plus de 500 millions de comptes qui auraient été dérobés durant cette attaque d’une envergure exceptionnelle. Les noms, adresses emails, réponses à des questions de sécurité, numéros de téléphones… des comptes sont concernés. Malheureusement pour le moteur de recherche, ce mea culpa intervient juste au moment où Yahoo devait signer son rachat par Verizon, qui a depuis suspendu cette opération.
Alors que l’on croyait cette affaire terminée, un nouveau rebondissement intervient. En effet, l’attaque pourrait avoir été perpétrée par un État et non par un (ou plusieurs) hacker(s) comme il avait d’abord été avancé en août dernier.
Des salariés de Yahoo au courant depuis 2014, 2 ans avant la PDG
Dans un rapport remis cette semaine, Yahoo suspecte qu’un État ai commandité l’attaque auprès des pirates, sans pour autant citer un pays. Tout aussi stupéfiant, il précise que certains collaborateurs étaient bien au courant de la fuite de données juste après l’intrusion. Aucune information n’aurait été communiquée au sein du groupe, tant bien que la PDG, Marissa Mayer, n’aurait été tenue informée qu’en juillet 2016 avant que l’affaire ne soit exposée publiquement dans les médias.
Quels rebondissements ce coup du siècle nous réserve-t-il encore ? C’est très difficile à prévoir, toujours est-il que Verizon pourrait avoir certainement raison d’avoir suspendu le rachat de Yahoo pour l’heure actuelle, car on ne sait toujours pas les répercussions que ce vol de données sans précédent pourrait avoir.
Ces piratages de services utilisés par plusieurs millions de personnes remettent en cause la sécurité informatique au niveau mondial, car plus les hackers disposeront d’identifiants (identifiants, adresses mail, mots de passe, etc.), plus il sera facile d’orchestrer des attaques dans le futur.
Pour éviter de faciliter la tâche aux pirates informatiques, voici quelques conseils pour choisir un mot de passe sécurisé..