27 septembre 2016Auteur : Maxime Johnson

Yahoo: une attaque informatique qui fait mal

Le géant de l’Internet Yahoo a dévoilé la semaine dernière avoir été la cible d’une attaque informatique. Celle-ci aurait permis de dérober les informations de plus de 500 millions de comptes. Il s’agirait de la plus grosse attaque de l’histoire. Pour plusieurs observateurs, cette annonce soulève plus de questions qu’elle n’offre de réponses.


Qu’est-ce qui s’est passé?

Cet été, un pirate a affirmé être en possession de 200 millions de comptes Yahoo piratés. La semaine dernière, Yahoo confirmait que les informations de plus de 500 millions de comptes ont été dérobées en 2014.

 «Nous pensons qu’il s’agit d’une attaque provenant d’une entité liée à un État», a précisé l’entreprise.

Les informations dérobées contiennent des noms, des adresses de courriel, des numéros de téléphone, des dates de naissance, des questions de sécurité et leurs réponses, mais pas de numéros de carte de crédit. Les mots de passe des utilisateurs ont aussi été volés, mais seraient chiffrés. Les petits mots de passe seraient à risque, mais les mots de passe longs et sécuritaires pourraient être protégés.

Comme le mentionne le Figaro, les informations obtenues pourraient notamment être utilisées à des fins de vol d’identité, puisque les adresses de courriel contiennent généralement beaucoup d’informations personnelles.

Yahoo dans l’eau chaude

À la suite de cette annonce, les observateurs du milieu des technologies sont loin d’avoir été tendres envers Yahoo.

Pour Kara Swisher et Kurt Wagner, du site Recode, le géant américain doit encore répondre à plusieurs questions. Est-ce la plus grosse attaque du genre? Qui a décidé de ne pas alerter les utilisateurs et de remettre à jour tous les mots de passe? Pourquoi est-ce que les dirigeants de Yahoo ont attendu à la dernière minute avant d’avertir Verizon de l’attaque, une compagnie qui est pourtant en pourparlers pour acquérir l’entreprise?

Ce dernier point aurait d’ailleurs laissé les dirigeants de Verizon plutôt froids. Ceux-ci ont publié un communiqué affirmant n’avoir eu vent de l’attaque que deux jours avant son annonce officielle.

Certains se posent aussi la question à savoir si l’attaque a réellement été commanditée par un joueur étatique, ou s’il ne s’agit pas simplement d’une façon pour Yahoo de s’en laver les mains et de dire subtilement que la compagnie n’aurait rien pu faire pour se protéger.

Le réseau Bloomberg News rappelle que la banque JP Morgan aurait tenté une tactique similaire en 2014 après une attaque. «Dire qu’une attaque a été lancée par un gouvernement étranger est la carte ultime qu’utilisent les gestionnaires embarrassés.»

Pour sa part, l’AFP modère le propos en rappelant que même si les motifs qui justifieraient une attaque du genre par un gouvernement comme la Russie, la Corée du Nord ou la Chine ne sont pas évidents, les services secrets de ces pays pourraient y trouver leur compte.

Que l’attaque ait été perpétrée par un gouvernement ou non, Yahoo n’est pas au bout de ses peines. En effet, un recours collectif aurait déjà été intenté en Californie contre la compagnie pour sa négligence.

Quoi faire si on possède un compte Yahoo

Ceux qui possèdent un compte Yahoo, même s’ils ne l’utilisent plus, devraient faire quelques changements pour protéger leurs informations personnelles.

Comme le précise le site Numérama, il est essentiel d’aller changer le mot de passe de son compte afin que les pirates ne puissent pas accéder à ses courriels. Tous les sites qui utilisent le même mot de passe devront aussi être changés.

Les questions de sécurité des comptes Yahoo ayant aussi été piratées, les utilisateurs devront les modifier. Ils devront aussi les changer pour tous les autres comptes qu’ils possèdent et qui utilisent ces mêmes questions.

Cette dernière partie pourrait être particulièrement difficile puisqu’on ne se souvient pas toujours des questions, surtout si le compte a été créé il y a plusieurs années.

Pour sa part, le site Recode propose quelques manœuvres supplémentaires, notamment d’activer la sécurité à deux facteurs pour tous ses comptes en ligne et laisser tomber Yahoo pour un service plus fiable, comme Google.

Verizon, qui doit bientôt acheter Yahoo pour 4,8 milliards de dollars, aurait probablement préféré ne pas voir ces conseils dans les médias.

Certains journalistes ont d’ailleurs mentionné que Verizon pourrait vouloir renégocier la valeur de son achat.

Voilà qui pourrait faire mal.