Ajout d'un nouvel exemple de piratage de mots de passe (et bien d'autres choses)
15 décembre 2016 - 1 milliard de comptes Yahoo piratés !Le 22 septembre 2016, Yahoo! révélait une violation remontant à août 2013 qui compromettait les mots de passe d’1/2 milliard de ses utilisateurs.
Aujourd’hui, 15 décembre 2016, soit à peine plus de 2,5 mois après, Yahoo! admet avoir été victime d’une autre attaque, séparée de celle d'août 2013, mais ayant eu lieu également en août 2013, portant sur une autre faille de sécurité, et ayant conduit à la compromission des données de plus d’un milliard de comptes d'utilisateurs supplémentaires. Yahoo! admet également que des attaquants ont trouvé un moyen de se connecter à des comptes Yahoo! sans même avoir besoin de fournir les mots de passe des victimes.
« Selon une analyse approfondie de ces données par des experts en criminalistique, nous croyons qu'un tiers non autorisé, en août 2013, a volé des données associées à plus d'un milliard de comptes d'utilisateurs », a déclaré Bob Lord (responsable de la sécurité des systèmes d’information chez Yahoo) le 15 décembre 2016. « Nous n'avons pas été en mesure d'identifier l'intrusion associée à ce vol. »
La déclaration indique que « pour les comptes potentiellement affectés, les informations de compte d'utilisateur volé peuvent avoir inclus :
- les noms
- les adresses de courriel
- les numéros de téléphone
- les dates de naissance
- les mots de passe hachés (en utilisant MD5)
- Et, dans certains cas, des questions de sécurité chiffrées ou non chiffrées. »
Le hachage MD5 (
Message
Digest
5) est une fonction de
hachage cryptographique (un algorithme) qui permet d'obtenir l'empreinte numérique (
hashcode -
condensat) d’une donnée. MD5 peut, depuis des années, être cassé : des techniques comme les
Tables arc-en-ciel (Rainbow Tables), permettent de décrypter (remonter du
condensat au contenu qui l'a généré), très rapidement, un
hashcode (
condensat)
MD5.
En plus, Bob Lord a déclaré que les attaquants avaient élaboré un moyen de forger des « cookies » que Yahoo! place sur les ordinateurs des utilisateurs lorsqu'ils se connectent. Les cookies d'authentification sont de petits fichiers texte contenant des informations sur la session de l'utilisateur avec Yahoo. Les cookies peuvent contenir beaucoup d'informations sur l'utilisateur, par exemple si l'utilisateur s'est déjà authentifié sur les serveurs de Yahoo!
Avec de tels cookies forgés, les cybercriminels se substituent à l’utilisateur et font croire à Yahoo! que l’utilisateur est dans une session authentifiée. Ceci permet de se faire passer pour l’utilisateur ciblé sans avoir besoin de fournir le mot de passe du compte. Si la connexion est rafraîchie avant chaque expiration, un cookie forgé permet aux cybercriminels de rester connectés dans les comptes piratés indéfiniment.
Yahoo! déclare être en cours de notification aux titulaires de compte affectés, et que les cookies forgés sont invalidés.
Bob Lord a également déclaré : « Nous avons relié une partie de cette activité au même acteur, sous commande d’un État, qui serait responsable du vol de données divulgué le 22 septembre 2016 ».
Les utilisateurs doivent changer leurs mots de passe, leurs questions de sécurité et les réponses à ces questions, pour tous les comptes Yahoo! sur lesquels ils ont utilisé la même information ou une information similaire.
Yahoo! demande aux utilisateurs d'examiner leurs comptes pour les activités suspectes et d'envisager d'utiliser « Yahoo! Account Key », un outil d'authentification simple qui élimine le besoin d'utiliser un mot de passe sur Yahoo!.
D’une manière générale, ne jamais utiliser de compte courriel poubelle comme Yahoo ! Mail, Google Mail, etc.
D’une manière générale, ne jamais utiliser un même mot de passe sur plusieurs comptes. Toujours utiliser des mots de passe différents sur chaque compte, de quelque nature que soit les comptes.
Souvenez-vous qu’il n’a jamais existé, qu’il n'existe pas, et qu’il n'existera jamais de logiciel, de système d'exploitation, de logiciel serveur, de cloud, de système de gestion de bases de données, de système d’authentification, etc. 100% sans erreur, sans faille de sécurité, impossible à pirater. Test de solidité des mots de passe.