Un nouveau jour et un nouveau cas d'attaque informatique. Cette fois-ci, c'est Yahoo! qui tire la sonnette d'alarme.
Les utilisateurs concernés sont prévenus par email ou par SMS. Ils doivent donc réfléchir à un nouveau sésame en évitant au passage d'opter pour un mot de passe trop faible - 123456 a toujours autant la cote - et ne pas utiliser le même mot de passe pour d'autres services en ligne. Si c'est trop difficile, il est possible d'avoir recours à un gestionnaire de mots de passe comme LastPass, KeePass...
A priori, il s'agissait d'une attaque automatisée - grâce à un logiciel malveillant - via des identifiants et mots de passe qui ont été récupérés ailleurs. Les informations compromises n'auraient ainsi pas été obtenues depuis des serveurs de Yahoo! mais depuis une base de données tierce.
Des cybercriminels partent donc à la pêche et tentent leur chance pour savoir si ce qu'ils ont récupéré peut permettre d'accéder à des comptes Yahoo!. Encore une fois : ne pas utiliser un même mot de passe pour plusieurs services. On peut penser que les attaquants auront dans l'idée d'essayer les combinaisons recueillies sur d'autres services.
L'attaque sur les comptes Yahoo! Mail visait à obtenir des noms et adresses email dans des messages récemment envoyés. Yahoo! précise avoir pris des mesures pour bloquer les attaques et travaille avec les autorités pour trouver et poursuivre les responsables.
Rappelons par ailleurs que Yahoo! Mail propose également un mécanisme de double vérification dit de vérification secondaire d'ouverture de session. Un code à 6 chiffres supplémentaire est envoyé via SMS à chaque tentative de connexion depuis un nouvel appareil.
