Un demi-milliard: le chiffre a de quoi donner le vertige. Yahoo!, pionnier du Web, a annoncé jeudi que 500 millions de comptes de ses utilisateurs ont été piratés à la fin de 2014, confirmant une information du site Recode. La société américaine soupçonne «une entité probablement liée à un Etat» mais il n’en donne pas le nom.

Lire aussi: Yahoo!: 500 millions de comptes piratés

Quoi qu’il en soit, cette intrusion illégale contre Yahoo!, qui revendiquait plus d’un milliard de comptes dans ses bases de données en 2012, est l’une des plus importantes ayant jamais visé une entreprise américaine. Et ces révélations tombent au mauvais moment pour un groupe déjà bien mal en point, qui est en train de se vendre à l’opérateur américain Verizon pour 4,8 milliards de dollars. Le risque: une baisse du montant de la transaction.

Mais qu’ont volé ces hackers? Des informations personnelles comme des dates de naissance, des adresses électroniques, des numéros de téléphone ou des mots de passe cryptés, indique Yahoo! dans un communiqué. Ce type de piratage de masse permet notamment d’usurper l’identité de la victime, de mettre la main sur des informations de paiement ou d’autres données privées. Les mots de passe non protégés et les données bancaires des utilisateurs n’ont cependant pas été affectés, assure le groupe.

Braderie au marché noir du Web

Toujours selon Recode, le fichier contenant toutes ces «vieilles» informations se vendait au marché noir, sur le Deep Web. Pour trois bitcoins, soit seulement 1800 dollars, signe d’une importante perte de valeur. On se souvient aussi, rappelle le site Atlantico, que «pendant l’été 2016, Yahoo! avait assuré enquêter sur une attaque après qu’un hacker surnommé Peace eut affirmé être en possession de 200 millions d’identifiants». Mais après un article du site spécialisé Motherboard qui avait révélé l’affaire, l’entreprise n’avait alors «pas jugé nécessaire de prévenir ses utilisateurs, ni de leur demander de modifier leurs identifiants». Le hacker qui revendiquait alors la vente de cette base de données «ne parlait que de 200 millions d’utilisateurs», mais «on ne sait pas exactement si les deux événements sont connectés», écrit Le Monde informatique.

Reste qu’on peut supposer que beaucoup d’informations contenues dans le fichier volé «sont encore exactes», aux yeux d’Europe 1. Les personnes qui y ont accès «seraient donc en mesure de pirater les comptes de leurs détenteurs, mais aussi d’utiliser les autres données qu’il contient pour du «phishing», soit l’envoi «de faux mails pour récupérer d’autres informations personnelles», les plus intéressantes étant les coordonnées bancaires. Sans compter un accès facilité vers des comptes de réseaux sociaux ou des services de vente en ligne. Facebook, Gmail ou Outlook constituent aussi des cibles potentielles, particulièrement pour les personnes qui utiliseraient le même mot de passe sur toutes ces plateformes.

De nombreux précédents

«L’ampleur de ce vol de données, relève Le Monde, en fait l’un des plus importants de ces deux dernières années.» Mais il est loin de constituer un cas isolé, puisque en mai dernier, «les données partielles de 117 millions d’utilisateurs de LinkedIn avaient été mises en vente sur un site spécialisé dans ce type de recel. Le même mois, les données de plus de 400 millions de comptes MySpace avaient connu le même sort.» De même que «68 millions de mots de passe Dropbox et 43 millions d’identifiants sur le site de musique en ligne Last.fm en 2012» ajoute Le Figaro. Sans oublier le hack de Tumblr.

Peace, à chaque fois, est dans le viseur, et les «mégabrèches» se multiplient, constatent Les Echos, dans un passionnant article sur cette vague qui a été «minimisée» depuis 2012 comme le relève un expert interrogé par leurs soins. Car au fur et à mesure que les données vieillissent, elles perdent de la valeur pour les pirates. «Pendant longtemps, elles se sont échangées sur des forums fermés» et «quatre ans plus tard, nous arrivons à l’étape ultime», au grand jour: «la vente en gros à des prix cassés, entre 50 centimes et deux euros l’unité pour des comptes grand public».

De mauvaises pratiques

Ces mégabrèches renvoient également à de «mauvaises pratiques […] en matière de stockage et de chiffrement des mots de passe», devenues bien plus faciles à casser au fil du développement des technologies. Au point, poursuit «Les Echos», qu'«aujourd’hui, stocker des mots de passe en clair dans une base de données relève de la faute professionnelle». Une prise de conscience a lieu, cependant, chez les professionnels de la branche. Mais «la balle est aussi dans le camp des utilisateurs». Il faut par exemple réaliser que «le mot de passe le plus utilisé par les victimes du piratage de LinkedIn était… 123456».

Que faire alors? Yahoo! conseille fortement aux utilisateurs d'«examiner de près leurs comptes pour s’assurer qu’il n’y a pas eu d’activité suspecte», en particulier les comptes Flickr, le site de partage d’images, où l’on doit impérativement changer son mot de passe. Enfin, le moteur de recherche «préconise de ne pas cliquer sur des liens ni de télécharger des pièces jointes venant d’adresses électroniques inconnues ou suspectes et d’être vigilants sur toute requête portant sur une demande d’informations personnelles». Le b.a.-ba.