Fin 2016, Yahoo avait dévoilé avoir été la victime d'une cyberattaque d'envergure datant d'août 2013, et ayant affecté plus d'un milliard de comptes. Cette révélation était intervenue après celle d'une autre cyberattaque remontant à 2014 et ayant affecté 500 millions de comptes.
Désormais dans le giron de Verizon et de sa filiale Oath, Yahoo apporte de nouveaux chiffres au sujet de la cyberattaque de mi-2013. Tous les comptes ont été impactés, soit aux alentours de 3 milliards de comptes qui existaient à l'époque.
Cette réactualisation des informations sur l'incident de sécurité intervient à la suite d'une enquête menée avec des experts indépendants après le rachat par l'opérateur télécoms Verizon, et lors de la procédure d'intégration de Yahoo au groupe.
Comme précédemment, il est toujours souligné que que les données dérobées ne comprenaient pas des mots de passe en clair, des données de cartes de paiement ou informations bancaires en rapport avec les propriétaires des comptes. Rassurant ? Pas si sûr...
Le vol de données concerne des noms, adresses mail, numéros de téléphone, dates de naissance, et dans certains cas des questions et réponses de sécurité chiffrées ou pas. Ces dernières ont été invalidées. Si des mots de passe en clair n'ont pas été dérobés, cela a par contre été le cas pour des hashs de mots de passe s'appuyant sur l'algorithme MD5 qui est affecté par des failles connues. Ce n'est qu'à l'été 2013 que Yahoo a procédé à une mise à niveau de la protection des mots de passe en optant pour l'algorithme bcrypt.
" Yahoo envoie des notifications par e-mail aux comptes supplémentaires d'utilisateurs affectés. " Par ailleurs, une FAQ a été mise en ligne. Tous les utilisateurs qui n'avaient pas déjà modifié leurs mots de passe depuis l'époque de la cyberattaque sont invités à le faire, et y compris ailleurs en cas de réutilisation d'un même sésame.
Rappelons que les inculpations de quatre personnes, dont deux officiers des services de renseignement russes, portent sur la cyberattaque de 2014.
