Categories: Sécurité

Yahoo piraté : 200 millions de comptes monnayés sur le darkweb ?

Un mystérieux hacker se présentant sous le pseudo « Peace », un média spécialisé baptisé Vice et un chercheur dénommé Troy Hunt : on prend les mêmes et on recommence ?

Impliqué dans le récent retour au premier plan d’un piratage subi en 2012 par LinkedIn, le trio fut aussi dernièrement à la pointe des révélations sur l’ampleur d’une attaque dont Tumblr avait été victime en 2013.

Cette fois-ci, c’est pleins feux sur Yahoo, avec plus ou moins le même mode opératoire. À ceci près que Troy Hunt est beaucoup moins affirmatif qu’il avait pu l’être dans les deux autres dossiers.

troy-hunt-yahoo

Pour le reste, « Peace » s’est à nouveau appuyé sur Vice pour revendiquer un vol massif de données ; rattachées, en l’occurrence, à 200 millions de comptes ouverts chez le groupe Internet américain qui vient de tomber dans le giron de Verizon.

Après avoir pendant un temps monnayé ces données « en privé », le hacker s’est décidé à les vendre via « The Real Deal ».

L’intéressé a ses habitudes sur cette place de marché du darkweb au travers de laquelle il a déjà commercialisé, entre autres, un jeu de données censé contenir 167 millions d’e-mails et 117 millions de mots de passe résultant du hack de LinkedIn susmentionné.

Yahoo veille

Une fois encore, la maison n’accepte qu’une seule devise : il faut payer 3 bitcoins – soit environ 1 500 euros – pour accéder au fichier qui, d’après les échantillons transmis à Vice, renferme des noms d’utilisateurs, des adresses e-mail, des dates de naissance… et des mots de passe hachés avec l’algorithme MD5, donc assez facilement déchiffrables.

Sur une vingtaine d’e-mails testés, la plupart correspondent effectivement à des comptes actuellement ouverts chez Yahoo. En revanche, un grand nombre de ces adresses de messagerie ne sont plus joignables.

Du côté de Yahoo, on confirme avoir lancé une enquête. Mais on ne se prononce pas sur l’authenticité des données en question. Pas non plus de réinitialisation de mots de passe dans les cartons, en tout cas pour l’heure.

« Peace » avait aussi mis en vente, toujours sur « The Real Deal », des informations associées à plus de 360 millions de comptes MySpace. L’échantillon fourni avait illustré une protection des mots de passe largement insuffisante, sans salage (ajout de chiffres aléatoires à la fin de hashs) et avec l’algorithme SHA1, aujourd’hui considéré comme obsolète.

Crédit photo : Mclek – Shutterstock.com

Recent Posts

PC Copilot+ : avec Arm ou x86 ?

Trop tôt pour envisager d'acquérir un PC Copilot+ ? Les roadmaps d'Intel et d'AMD peuvent…

2 semaines ago

Copilot+ : une sélection de PC convertibles

Dévoilés lors du CES 2025, les PC Copilot+ au format convertible restent encore limitée dans…

4 semaines ago

Avec Gemini intégré à Google Workspace, les prix s’envolent

Les fonctionnalités de Gemini sont intégrées dans la suite bureautique Google Workspace. Conséquence : les…

1 mois ago

PC Copilot+ : c’est parti pour la transformation du parc

Au CES 2025, les principaux constructeurs ont annoncé l'arrivée des ordinateurs de bureau dotés de…

1 mois ago

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

3 mois ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 mois ago