Pour gérer vos consentements :
Categories: Sécurité

Yahoo piraté : 200 millions de comptes monnayés sur le darkweb ?

Un mystérieux hacker se présentant sous le pseudo « Peace », un média spécialisé baptisé Vice et un chercheur dénommé Troy Hunt : on prend les mêmes et on recommence ?

Impliqué dans le récent retour au premier plan d’un piratage subi en 2012 par LinkedIn, le trio fut aussi dernièrement à la pointe des révélations sur l’ampleur d’une attaque dont Tumblr avait été victime en 2013.

Cette fois-ci, c’est pleins feux sur Yahoo, avec plus ou moins le même mode opératoire. À ceci près que Troy Hunt est beaucoup moins affirmatif qu’il avait pu l’être dans les deux autres dossiers.

Pour le reste, « Peace » s’est à nouveau appuyé sur Vice pour revendiquer un vol massif de données ; rattachées, en l’occurrence, à 200 millions de comptes ouverts chez le groupe Internet américain qui vient de tomber dans le giron de Verizon.

Après avoir pendant un temps monnayé ces données « en privé », le hacker s’est décidé à les vendre via « The Real Deal ».

L’intéressé a ses habitudes sur cette place de marché du darkweb au travers de laquelle il a déjà commercialisé, entre autres, un jeu de données censé contenir 167 millions d’e-mails et 117 millions de mots de passe résultant du hack de LinkedIn susmentionné.

Yahoo veille

Une fois encore, la maison n’accepte qu’une seule devise : il faut payer 3 bitcoins – soit environ 1 500 euros – pour accéder au fichier qui, d’après les échantillons transmis à Vice, renferme des noms d’utilisateurs, des adresses e-mail, des dates de naissance… et des mots de passe hachés avec l’algorithme MD5, donc assez facilement déchiffrables.

Sur une vingtaine d’e-mails testés, la plupart correspondent effectivement à des comptes actuellement ouverts chez Yahoo. En revanche, un grand nombre de ces adresses de messagerie ne sont plus joignables.

Du côté de Yahoo, on confirme avoir lancé une enquête. Mais on ne se prononce pas sur l’authenticité des données en question. Pas non plus de réinitialisation de mots de passe dans les cartons, en tout cas pour l’heure.

« Peace » avait aussi mis en vente, toujours sur « The Real Deal », des informations associées à plus de 360 millions de comptes MySpace. L’échantillon fourni avait illustré une protection des mots de passe largement insuffisante, sans salage (ajout de chiffres aléatoires à la fin de hashs) et avec l’algorithme SHA1, aujourd’hui considéré comme obsolète.

Crédit photo : Mclek – Shutterstock.com

Recent Posts

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

1 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

1 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

2 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

4 mois ago

PC Copilot+ : Microsoft passe Recall en opt-in

Microsoft modifie la fonctionnalité de Recall sur les PC Copilot+ qui passe en opt-in. Reste…

4 mois ago