Divulgation de mots de passe : une victime porte plainte contre Yahoo!

Début juillet, un groupe de pirates divulguait 450 000 identifiants et mots de passe relatifs à des comptes Yahoo!, afin de souligner les problèmes de sécurité du géant de l’internet. Outre-Atlantique, une victime de ces révélations vient de porter plainte contre la société américaine, qui n’aurait selon lui pas suffisamment protégé ses données personnelles.

Dans l’action de groupe (PDF, pointé par CNET) qu’il a déposée mardi dernier devant la cour de district de San José (Californie), Jeff Allan explique qu’il est l’un des utilisateurs Yahoo dont les identifiants et le mot de passe ont été divulgués aux alentours du 13 juillet par la D33Ds Company, un groupe de pirates informatiques. Dans les jours suivant cette divulgation, l’intéressé dit avoir reçu un avertissement de fraude de la part d’Ebay, site pour lequel il utilisait les mêmes éléments de connexion que pour son compte Yahoo.

D’après Jeff Allan, les pirates ont atteint la base de données de Yahoo au moyen d’une attaque par injection de SQL. Or, cette technique est selon lui « connue depuis plus de dix ans, et a déjà été utilisée pour des vols massifs de données contre Heartland Payment System [un intermédiaire de paiements bancaires, ndlr] ». De surcroît, le plaignant relève qu’en 2003, l’agence indépendante relative au droit de la consommation, la Federal Trade Commission, considérait les attaques SQL « comme des événements bien connus et prévisibles, qui peuvent et doivent être empêchés par des mesures de sécurité régulières ».

Protection insuffisante

Dès lors, Jeff Allan démontre que la société américaine n’avait pas chiffré de manière suffisante la base de données attaquée par les pirates, et que de ces « pratiques négligentes de sécurité » avait résulté la divulgation de ses données personnelles ainsi que de celles de nombreux internautes. « En échouant à employer ces mesures de sécurité élémentaires et réputées, explique la plainte, Yahoo s’est éloigné des règles de diligence raisonnables, et a faillit à son devoir de protéger les informations personnelles » de ses utilisateurs.

Le plaignant réclame ainsi que la justice lui accorde un dédommagement, et qu’elle somme la société de prendre les mesures de sécurité nécessaires pour protéger les données de ses utilisateurs.

Rappelons que suite à cette divulgation, nous avions interrogé la CNIL au sujet des défauts de sécurisation des données personnelles. Gwendal Le Grand, chef du service de l’expertise informatique de l’autorité indépendante, nous avait expliqué que le stockage des mots de passe en clair était « une pratique à proscrire ». « S’il n’y a pas du tout de transformation du hachage et qu’un attaquant récupère les mots de passe hachés, cela peut être extrêmement facile de faire par exemple une attaque par force brute, où l’on va essayer tous les mots de passe possibles en appliquant la fonction de hachage jusqu’à tomber sur le résultat. Et cela peut aller très vite avec les machines d’aujourd’hui », avait-il averti. Voir notre interview de la CNIL sur les défauts de sécurisation des données personnelles.