Les données de 500 millions de comptes se sont retrouvées sur le "marché noir" suite à un piratage... en 2014. Mais Yahoo a mis du temps à détecter et à réagir à cette attaque.

Marissa Mayer, PDG de Yahoo en avril 2016
Marissa Mayer, PDG de Yahoo en avril 2016 © Reuters / Robert Galbraith

Des courriels, mais aussi des photos personnelles (via le service Flickr), des vidéos (Yahoo! Video), des conversations (Yahoo! Groupes), des blogs (Tumblr)... La liste des éléments auxquels certains pourraient avoir accès via un compte Yahoo est vaste. À l'instar de son gigantesque rival Google, le groupe a aggloméré au fil des années une multitudes de services rachetés et éventuellement intégrés. Sans compter le fait que nombre d'utilisateurs utilisent le même mot de passe pour la plupart des services auxquels ils sont connectés.

Difficile donc de nier l'urgence de signaler le vol de données aussi sensibles : des noms, des adresses email, des numéros de téléphone, des dates de naissance et surtout des mots de passe. Pourtant la réaction a semblé tarder, et plusieurs raisons viennent à l'esprit des spécialistes.

[Possible] Le vol a été découvert très tard

C'est le site spécialisé Motherboard qui a identifié le piratage en août 2016, en découvrant sur un site du darknet une offre de vente de 200 millions de comptes Yahoo, pour la modique somme de 3 bitcoins (soit environ 1.600 euros). Derrière cette offre, un hacker surnommé Peace, qui affirme qu'il a commencé par vendre ces données en privé avant de les diffuser plus largement, et qu'il en dispose via un piratage datant de 2012. De son côté, Yahoo confirme alors qu'elle est au courant de l'existence de cette offre, mais ne précise pas si les données sont ou non réelles. Même en supposant qu'elle a alors découvert la brèche, la société a tout de même attendu deux mois avant de la confirmer, après une enquête approfondie.

[Probable] Le vol tombait à un très mauvais moment

Tout est dans le timing. Fin juillet (donc une semaine avant la découverte publique du piratage), l'opérateur télécoms américain Verizon a annoncé qu'il rachetait l'activité internet de Yahoo (dont son service mail), pour près de 5 milliards de dollars. La vente est rapidement officialisée, dans une annonce commune des deux groupes, avec une finalisation prévue début 2017.

Si l'on imagine mal, deux mois après, un recul de Verizon sur ce rachat, le prix en revanche peut encore être négocié. Verizon a d'ailleurs réagi à l'annonce en expliquant qu'elle avait été avertie peu avant le communiqué officiel, et qu'elle ne disposait "que d'informations limitées et une vue restreinte sur l'impact. Nous évaluerons les conséquences au fur et à mesure des développements de l'enquête en mettant en avant l'intérêt de Verizon". Le prix pourrait donc baisser, mais la vente, elle, reste d'actualité.

[Difficile à vérifier] Le vol pourrait avoir des implications géopolitiques

Lorsque Yahoo a confirmé publiquement le piratage, le 22 septembre, la société a également précisé que l'attaque fin 2014 (dont proviendraient les données) aurait été perpétrée par une entité "liée à un État". Autrement dit, que le piratage aurait été commandité, ou a minima soutenu, par une puissance étrangère. Une thèse qui peut paraître "abracadabrantesque", mais pas tant que ça. D'ailleurs, selon une source de Motherboard chez Yahoo, la société serait en tout cas intimement convaincue que c'est bien le cas. Peace lui-même (le hacker qui tente de vendre les données) prétend être russe.

Pour l'expert en sécurité Graham Cluley, c'est toutefois une explication commode en termes d'image : "Si je dois annoncer la mauvaise nouvelle que mon entreprise a été piratée et qu'au moins 500 millions de comptes sont affectés, je me sentirais plus soulagé de dire que les hackers sont sponsorisés par un État que de dire que c'est une bande de jeunes de 15 ans d'un endroit mal famé de la ville".

[Peu probable] Le vol n'existe pas

Ou en tout cas, une bonne partie des données ne sert strictement à rien. Déjà, d'un point de vue strictement financier : Yahoo assure qu'aucune donnée bancaire n'est concernée par le piratage, qui comprend principalement des noms, des mots de passe et des adresses email.

De plus, lorsqu'ils ont découvert les données en août 2016, les journalistes de Motherboard ont décidé d'en tester une partie (ils ont obtenu un échantillon de 5.000 comptes). Si la plupart correspondent bien à des comptes existants, une bonne partie des 100 adresses mail contactées ont renvoyé un message d'erreur (comptes désactivés ou "abandonnés" par leurs utilisateurs). Bien entendu, cela ne veut pas dire que le reste des données est "corrompu" : généralement, les blocs de données ainsi récoltés le sont au fil de plusieurs piratages, certains moins efficaces que d'autres.

[Obligatoire] Faire le nécessaire

Comme dans toute affaire de piratage, la prudence est la règle numéro un : si vous utilisez un compte Yahoo et que vous n'avez pas modifié votre mot de passe depuis 2014, il est fortement recommandé de le faire. Et de faire de même pour tous les sites Internet où vous pourriez avoir utilisé le même.

Ce contenu n'est pas ouvert aux commentaires.