S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Flash Info : Fêtons la TVA à 2,1 % : abonnez-vous dès 17 € par an !

Yahoo! reconnait s'être fait voler 450 000 mots de passe

Associated content, Associated pas content

Yahoo! a confirmé hier s’être fait dérober un fichier contenant les identifiants et les mots de passe relatifs à 450 000 comptes d’utilisateurs. Même si seuls 5 % de ces mots de passe seraient valides d'après le géant de l'Internet, les pirates revendiquant cette divulgation affirment avoir voulu avertir Yahoo! de problèmes de sécurité.

yahoo mot de passe liste 

Yahoo! l’a reconnu hier dans un communiqué :  « Nous confirmons qu’un ancien fichier provenant du Yahoo! Contributor Network (précédemment Associated Content) contenant environ 450 000 identifiants et mots de passe relatifs à Yahoo! et à d’autres sociétés a été compromis le 11 juillet. Moins de 5 % de ces comptes avaient des mots de passe valides ». Visiblement embarrassée, la société américaine a présenté ses excuses aux utilisateurs concernés, et assuré que ses services s’efforçaient de réparer la « vulnérabilité » qui avait conduit à ces divulgations.

 

La veille, le site de la société TrustedSec révélait en effet qu’une brèche dans le site Yahoo! Voices (auparavant Associated Content) avait conduit à la divulgation de centaines de milliers d’identifiants et aux mots de passe qui y étaient associés. Les adresses mails relatives à ces informations étaient diverses (gmail.com, yahoo.com, hotmail.com,...). D’après cette entreprise de sécurité, les mots de passe n’auraient pas été cryptés, et étaient donc stockés « en clair ». Pour extraire ces informations, il aurait suffi d’une « attaque par injection de SQL », ce qui serait « le plus alarmant dans toute cette histoire » selon TrustedSec.

 

d33Ds

 

L’attaque en question a été revendiquée par un groupe du nom de « D33Ds Company », qui propose sur son site Internet le téléchargement des données qu’il s’est procurées. Même s’il ne dévoile pas le nom de domaine précis visé par leur attaque, ce document contient plusieurs centaines de milliers de lignes d’identifiants et de mots de passe. Les auteurs précisent en marge des informations divulguées qu’ils espèrent que « les responsables de la sécurité de ce sous-domaine prendront ça comme un avertissement, et non pas comme une menace ». Et ces derniers de conclure : « Le nom du sous-domaine et les paramètres vulnérables n'ont pas été publiés afin d’éviter des dommages supplémentaires ». 

 

Cet épisode sonne comme un nouvel avertissement, tant pour les sites Web que pour les internautes, après les récentes divulgations de mots de passe de Linkedin ou du site du Figaro.

Xavier Berne

Journaliste, spécialisé dans les thématiques juridiques et politiques.

Publiée le 13/07/2012 à 10:33

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 43 commentaires

Avatar de goodwhitegod INpactien
goodwhitegod Le vendredi 13 juillet 2012 à 10:36:02
Inscrit le vendredi 31 octobre 03 - 10779 commentaires
Je vais voir si ma vieille adresse s'y trouve...

EDIT : nop'

Edité par goodwhitegod le vendredi 13 juillet 2012 à 10:39
Avatar de Clemphenix INpactien
Clemphenix Le vendredi 13 juillet 2012 à 10:49:08
Inscrit le mardi 3 janvier 06 - 73 commentaires
Encore des pass en clair... Sur des services toujours plus importants.
Et on ne nous annonce certainement que la surface de l'iceberg.
A quand google, facebook, impots.gouv.fr ou encore une banque ?

Il devient vraiment nécessaire d'utiliser un mot de passe différent pour tous ses comptes et de les modifier régulièrement.

Utiliser OpenID quand il est disponible, c'est fiable ?
Avatar de ano_634964033528556218 INpactien
ano_634964033528556218 Le vendredi 13 juillet 2012 à 10:49:38
Inscrit le lundi 2 janvier 06 - 1383 commentaires
Et, beh, c'est à la mode en ce moment les password en clair ...

Bientôt PCI ?
Avatar de Yallith INpactien
Yallith Le vendredi 13 juillet 2012 à 10:51:05
Inscrit le jeudi 15 mai 08 - 331 commentaires
Visiblement embarrassée, la société américaine a présenté ses excuses aux utilisateurs concernés
Si on a pas été contacté (par mail yahoo ?) c'est que c'est bon ?
Avatar de jonathanpatate INpactien
jonathanpatate Le vendredi 13 juillet 2012 à 10:57:13
Inscrit le mardi 31 mai 05 - 92 commentaires
Visiblement cela ne concerne que la partie Yahoo! Voice. (compte mails Yahoo! ou Yahoo! Messenger qui permet de passer des appels voix sur IP).

Les comptes mail! "normaux" ne sont pas concernés.

Edité par jonathanpatate le vendredi 13 juillet 2012 à 10:58

Il y a 43 commentaires

;