Un mois après LinkedIn, Yahoo! est la nouvelle victime d'une fuite. Plus de 453.000 identifiants et mots de passe d'utilisateurs circulent sur Internet, à la suite d'une attaque touchant un service de Yahoo!.
Les hackers, qui ont revendiqué l'attaque informatique, appartiennent à un groupe nommé «D33Ds Company». Sur leur site hébergé en Ukraine - et surchargé jeudi à la mi-journée -, les pirates ont publié un fichier de 18 Mo, contenant 453.492 e-mails et mots de passe, selon le site spécialisé TrustedSec. Les mots de passe «étaient reliés à une grande variété d'adresses mail, incluant les adresses yahoo.com, gmail.com et aol.com», ajoute le site.
Dans un communiqué publié jeudi soir, Yahoo! a confirmé que la sécurité de plus de 400.000 comptes avait été compromise, présenté des excuses à ses membres et ajouté qu'un correctif était en cours de déploiement.
Faille de sécurité
Comment les pirates ont-ils pu accéder à autant de fichiers? En exploitant apparemment une faille de sécurité. D'après les principaux intéressés, cités par le site Ars Technica, les données extraites étaient stockées sans cryptage. Pour mener à bien leur attaque, les hackers auraient simplement combiné plusieurs techniques d'injection SQL, c'est-à-dire en injectant dans la base de données de Yahoo! plusieurs requêtes en langage SQL. Les requêtes servent à effectuer des opérations au sein d'une base de données.
Pour les hackers, il ne s'agit pas d'une attaque néfaste, mais d'un service rendu: «Nous espérons que les personnes en charge de la sécurité dans ce sous-domaine vont considérer ce hacking comme une volonté de réveiller leur conscience et non pas comme une menace», affirment-ils sur leur site. «Il y a eu par le passé de publications de failles de données qui ont causé à Yahoo! plus de dommages que notre publication. Ne les prenez pas à la légère», ajoute la D33Ds Company. Et d'ajouter, magnanimes: «Le nom du sous-domaine et les paramètres vulnérables n'ont pas été publiés afin de ne pas vous causer de dommages supplémentaires.»
Un ancien fichier
Les identifiants récupérés viennent de Yahoo Voices. Sur ce portail, les internautes peuvent partager leurs vidéos et leurs articles. «Les 435.000 comptes hackés sont pré-Yahoo! et viennent d'Associated Content, avant que Yahoo! le rachète», explique John Koetsier, spécialiste en nouvelles technologies pour le site Venture Beat.
La faille viendrait ainsi d'un ancien fichier de mots de passe, appartenant à Associated Content, un éditeur de contenus participatif, racheté par Yahoo! en 2010 pour 100 millions de dollars. À l'époque, Associated Content s'appuyait sur un réseau de 380.000 internautes - «un chiffre proche des 400.000 mots de passe divulgués», remarque John Koetsier. Et d'exhorter les anciens contributeurs d'Associated Content de changer «au plus vite» leurs mots de passe.
Yahoo! n'a pas tardé à confirmer l'attaque et à s'excuser, confirmant la théorie de John Koestier. «Nous prenons la sécurité très au sérieux et investissons massivement afin de protéger les données de nos utilisateurs. Nous confirmons qu'un vieux fichier issu d'Associated Content a été dérobé.» Mais Yahoo! s'est voulu rassurant: «sur 400.000 comptes que contenait ce fichier, seuls 5% d'entre eux étaient encore valides.» Et de solliciter tout de même les utilisateurs à modifier leurs mots de passe.
Début juin, une série de failles dans la protection des données personnelles avait touché d'autres services, comme le site de rencontre eHarmony ou la radio en ligne Last.fm. Le réseau social professionnel LinkedIn avait, quant à lui, été la cible d'un groupe de hackers qui avaient diffusé sur Internet plus de 6,5 millions de mots de passe.
Les hackers, qui ont revendiqué l'attaque informatique, appartiennent à un groupe nommé «D33Ds Company». Sur leur site hébergé en Ukraine - et surchargé jeudi à la mi-journée -, les pirates ont publié un fichier de 18 Mo, contenant 453.492 e-mails et mots de passe, selon le site spécialisé TrustedSec. Les mots de passe «étaient reliés à une grande variété d'adresses mail, incluant les adresses yahoo.com, gmail.com et aol.com», ajoute le site.
Dans un communiqué publié jeudi soir, Yahoo! a confirmé que la sécurité de plus de 400.000 comptes avait été compromise, présenté des excuses à ses membres et ajouté qu'un correctif était en cours de déploiement.
Faille de sécurité
Comment les pirates ont-ils pu accéder à autant de fichiers? En exploitant apparemment une faille de sécurité. D'après les principaux intéressés, cités par le site Ars Technica, les données extraites étaient stockées sans cryptage. Pour mener à bien leur attaque, les hackers auraient simplement combiné plusieurs techniques d'injection SQL, c'est-à-dire en injectant dans la base de données de Yahoo! plusieurs requêtes en langage SQL. Les requêtes servent à effectuer des opérations au sein d'une base de données.
Pour les hackers, il ne s'agit pas d'une attaque néfaste, mais d'un service rendu: «Nous espérons que les personnes en charge de la sécurité dans ce sous-domaine vont considérer ce hacking comme une volonté de réveiller leur conscience et non pas comme une menace», affirment-ils sur leur site. «Il y a eu par le passé de publications de failles de données qui ont causé à Yahoo! plus de dommages que notre publication. Ne les prenez pas à la légère», ajoute la D33Ds Company. Et d'ajouter, magnanimes: «Le nom du sous-domaine et les paramètres vulnérables n'ont pas été publiés afin de ne pas vous causer de dommages supplémentaires.»
Un ancien fichier
Les identifiants récupérés viennent de Yahoo Voices. Sur ce portail, les internautes peuvent partager leurs vidéos et leurs articles. «Les 435.000 comptes hackés sont pré-Yahoo! et viennent d'Associated Content, avant que Yahoo! le rachète», explique John Koetsier, spécialiste en nouvelles technologies pour le site Venture Beat.
La faille viendrait ainsi d'un ancien fichier de mots de passe, appartenant à Associated Content, un éditeur de contenus participatif, racheté par Yahoo! en 2010 pour 100 millions de dollars. À l'époque, Associated Content s'appuyait sur un réseau de 380.000 internautes - «un chiffre proche des 400.000 mots de passe divulgués», remarque John Koetsier. Et d'exhorter les anciens contributeurs d'Associated Content de changer «au plus vite» leurs mots de passe.
Yahoo! n'a pas tardé à confirmer l'attaque et à s'excuser, confirmant la théorie de John Koestier. «Nous prenons la sécurité très au sérieux et investissons massivement afin de protéger les données de nos utilisateurs. Nous confirmons qu'un vieux fichier issu d'Associated Content a été dérobé.» Mais Yahoo! s'est voulu rassurant: «sur 400.000 comptes que contenait ce fichier, seuls 5% d'entre eux étaient encore valides.» Et de solliciter tout de même les utilisateurs à modifier leurs mots de passe.
Début juin, une série de failles dans la protection des données personnelles avait touché d'autres services, comme le site de rencontre eHarmony ou la radio en ligne Last.fm. Le réseau social professionnel LinkedIn avait, quant à lui, été la cible d'un groupe de hackers qui avaient diffusé sur Internet plus de 6,5 millions de mots de passe.