TECHNO

Yahoo ! victime du plus important piratage de l’histoire

Yahoo ! a hérité hier d’un trophée peu convoité, celui du plus grand nombre de comptes piratés de l’histoire. L’entreprise a révélé qu’au moins 500 millions de comptes avaient été compromis fin 2014, par ce qu’elle croit être « un acteur commandité par un État ».

La recommandation la plus pressante à son milliard d’usagers : modifiez votre mot de passe si cela n’a pas été fait depuis 2014. Yahoo ! conseille en outre de changer ce mot de passe sur tous les autres sites où il a été utilisé et de ne pas cliquer sur les liens contenus dans des courriels suspects.

PAS D’INFORMATIONS FINANCIÈRES

Il s’agit d’un nouveau jalon dans la jeune histoire de l’internet, après les 427 millions de comptes MySpace compromis l’été dernier. LinkedIn, avec plus d’une centaine de millions de comptes piratés, et Dropbox, avec 68 millions, ont également fait les frais des cybercriminels.

Selon Yahoo !, le ou les pirates auraient eu accès aux noms, adresses courriel, numéros de téléphone, dates de naissance, mots de passe cryptés et questions et réponses d’authentification des usagers.

Le chercheur en sécurité informatique Marc-André Léger, de l’Université de Sherbrooke, estime qu’il s’agit davantage ici de cyberespionnage que de cybercriminalité classique.

« On peut imaginer quel gouvernement a intérêt à mettre la main sur les informations de 500 millions de personnes… Vous avez le choix entre les États-Unis, la Russie, la Chine et la Corée du Nord. On est plus ici dans le “big data” que dans l’acquisition de données à vendre. »

— Marc-André Léger, chercheur en sécurité informatique à l’Université de Sherbrooke

L’enquête toujours en cours de Yahoo ! « suggère que les informations volées n’incluent pas » d’informations financières importantes, selon un communiqué. Ces informations ne sont pas stockées dans le même système que celui qui a été violé. L’enquête n’a pas trouvé d’indication voulant que cet « acteur » ait toujours accès au réseau.

Selon Yahoo !, « les intrusions en ligne et les vols par des acteurs commandités par des États sont devenus de plus en plus courants dans l’industrie de la technologie ». Depuis décembre 2015, l’entreprise affirme avoir prévenu 10 000 utilisateurs qu’ils étaient la cible de ce type de cybercriminels.

UN ACHETEUR MALCHANCEUX

Aucune explication n’a été fournie sur le long délai entre le piratage et son annonce. Même Verizon, qui a acheté les activités internet de Yahoo ! cet été au coût de 4,8 milliards US, n’a appris la nouvelle qu’il y a deux jours. Rien n’indique que la vente est compromise, même si le communiqué publié en fin de journée par le géant américain des télécommunications laisse percer une certaine irritation. « Nous avons une information et une compréhension limitées des impacts » de ce piratage, précise l’acheteur, qui assure suivre l’enquête « à travers la lentille des intérêts globaux de Verizon ».

Pour Marc-André Léger, Yahoo ! n’avait pas le choix de dévoiler le piratage avant que la transaction ne soit bouclée. « Ils pourraient se faire poursuivre. Si j’étais Verizon, je serais en train de renégocier le prix. Il va y avoir une perte de confiance de la clientèle et ils vont perdre beaucoup d’utilisateurs. »

Il semble que ce soit le site spécialisé Recode qui ait été le premier à éventer l’information mercredi soir, annonçant le piratage de « centaines de millions de comptes » de Yahoo !. On rappelait que ce vétéran de l’internet avait déjà ouvert cet été une enquête concernant un possible piratage de ses serveurs. Un cybercriminel connu sous le nom de « Peace » s’était alors vanté d’avoir mis la main sur les informations confidentielles de plus de 200 millions de comptes Yahoo !. Recode cite en outre des « sources internes » de l’entreprise qui dénoncent la mollesse avec laquelle la direction aurait réagi à des « incidents » de sécurité dans le passé. 

Dropbox

L’attaque dont est victime LinkedIn en 2012 a un effet collatéral inattendu dont on apprendra l’existence quatre ans plus tard. Un des comptes LinkedIn touchés appartient à un employé de Dropbox, un service de stockage et de partage de données en ligne. Les pirates informatiques en profitent en 2012 pour entrer dans le compte de cet employé et finissent par mettre la main sur les informations de 68 millions d’utilisateurs de Dropbox. Ce n’est qu’à la fin août 2016 que l’entreprise dévoilera cette fuite.

LinkedIn

En juin 2012, des cybercriminels russes mettent la main sur 6,5 millions d’identifiants du site de réseautage pour professionnels LinkedIn. C’est du moins ce qu’on croyait jusqu’à ce que, en mai 2016, le réseau social réévalue le nombre de comptes touchés à plus de 100 millions. La liste des informations volées était offerte sur le dark web pour la modique somme de 5 bitcoins, ou 3880 $.

Myspace

En mai 2016, un pirate au nom resté secret met en ligne un fichier de 14 Go contenant 427 millions de mots de passe d’usagers de Myspace. Pourquoi s’attaquer à ce vénérable site, ancêtre des réseaux sociaux fondé en 2003 et pratiquement oublié aujourd’hui ? Probablement à cause de l’habitude des internautes de réutiliser leur mot de passe pour plusieurs sites. On en aura une illustration fin juin quand le compte Twitter du PDG d’Oculus, Brendan Iribe, sera piraté grâce à son ancien mot de passe Myspace.

Ce texte provenant de La Presse+ est une copie en format web. Consultez-le gratuitement en version interactive dans l’application La Presse+.