Record battu pour Yahoo.
Le groupe Internet se dit convaincu d’avoir été victime, à l’été 2013, d’un piratage qui a exposé des informations associées à plus d’un milliard de comptes d’utilisateurs.
D’après les résultats de l’enquête menée avec des experts en sécurité informatique, l’incident est « probablement sans lien » avec le vol massif de données* officialisé fin septembre… et dont le bilan était déjà sans précédent (au moins 500 millions de comptes).
Ces conclusions sont basées sur l’analyse d’informations transmises le mois dernier par les forces de l’ordre, qui les avaient elles-mêmes reçues d’une « tierce personne ».
Sur la liste figurent des noms, des numéros de téléphone, des dates de naissance, des adresses électroniques, des mots de passés chiffrés avec l’algorithme MD5 (plus vulnérable que bcrypt, que Yahoo commençait tout juste à mettre en place à l’été 2013) et, « dans certains cas, des questions de sécurité [permettant de réinitialiser le mot de passe, ndlr], chiffrées on non ». En revanche, pas de données de paiement et d’informations bancaires, « stockées autre part ».
Les utilisateurs concernés sont invités à modifier leur mot de passe. Les éventuelles questions de sécurité qu’ils avaient définies ont été supprimées si elles n’étaient pas chiffrées.
Yahoo saisit l’occasion pour fournir quelques détails supplémentaires sur le hack annoncé en septembre.
Le dernier rapport trimestriel de la société faisait mention d’un agent « piloté par un État » et qui aurait notamment créé des cookies pour pouvoir accéder de manière récurrente à certaines données sans avoir à s’identifier.
Cette piste se confirme. L’agent en question serait parvenu à accéder à du code propriétaire et ainsi à comprendre comment concevoir lesdits cookies… qu’il aurait d’ailleurs récemment réutilisés.
* Yahoo a retenu, à ce titre, des charges d’un million de dollars sur ses comptes du 3e trimestre. La firme craint surtout que l’épisode ne remette en cause l’accord à 4,8 milliards de dollars signé fin juillet avec Verizon, qui s’est porté acquéreur de ses principales activités dans les services Web.
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…