Flash Info :
Microsoft annonce la XBox One : tout ce qu'il faut savoir
Divulgation de mots de passe : une victime porte plainte contre Yahoo!
Sortez couverts
Début juillet, un groupe de pirates divulguait 450 000 identifiants et mots de passe relatifs à des comptes Yahoo!, afin de souligner les problèmes de sécurité du géant de l’internet. Outre-Atlantique, une victime de ces révélations vient de porter plainte contre la société américaine, qui n’aurait selon lui pas suffisamment protégé ses données personnelles.
Dans l’action de groupe (PDF, pointé par CNET) qu’il a déposée mardi dernier devant la cour de district de San José (Californie), Jeff Allan explique qu’il est l’un des utilisateurs Yahoo dont les identifiants et le mot de passe ont été divulgués aux alentours du 13 juillet par la D33Ds Company, un groupe de pirates informatiques. Dans les jours suivant cette divulgation, l’intéressé dit avoir reçu un avertissement de fraude de la part d’Ebay, site pour lequel il utilisait les mêmes éléments de connexion que pour son compte Yahoo.
D’après Jeff Allan, les pirates ont atteint la base de données de Yahoo au moyen d’une attaque par injection de SQL. Or, cette technique est selon lui « connue depuis plus de dix ans, et a déjà été utilisée pour des vols massifs de données contre Heartland Payment System [un intermédiaire de paiements bancaires, ndlr] ». De surcroît, le plaignant relève qu’en 2003, l’agence indépendante relative au droit de la consommation, la Federal Trade Commission, considérait les attaques SQL « comme des événements bien connus et prévisibles, qui peuvent et doivent être empêchés par des mesures de sécurité régulières ».
Protection insuffisante
Dès lors, Jeff Allan démontre que la société américaine n’avait pas chiffré de manière suffisante la base de données attaquée par les pirates, et que de ces « pratiques négligentes de sécurité » avait résulté la divulgation de ses données personnelles ainsi que de celles de nombreux internautes. « En échouant à employer ces mesures de sécurité élémentaires et réputées, explique la plainte, Yahoo s’est éloigné des règles de diligence raisonnables, et a faillit à son devoir de protéger les informations personnelles » de ses utilisateurs.
Le plaignant réclame ainsi que la justice lui accorde un dédommagement, et qu’elle somme la société de prendre les mesures de sécurité nécessaires pour protéger les données de ses utilisateurs.
Rappelons que suite à cette divulgation, nous avions interrogé la CNIL au sujet des défauts de sécurisation des données personnelles. Gwendal Le Grand, chef du service de l’expertise informatique de l’autorité indépendante, nous avait expliqué que le stockage des mots de passe en clair était « une pratique à proscrire ». « S’il n’y a pas du tout de transformation du hachage et qu’un attaquant récupère les mots de passe hachés, cela peut être extrêmement facile de faire par exemple une attaque par force brute, où l’on va essayer tous les mots de passe possibles en appliquant la fonction de hachage jusqu’à tomber sur le résultat. Et cela peut aller très vite avec les machines d’aujourd’hui », avait-il averti. Voir notre interview de la CNIL sur les défauts de sécurisation des données personnelles.
Il y a 11 commentaires
INpactien
En clair :
Par contre, on fera rien hein faut pas déconner
Quant à l'action contre yahoo, bravo. Je pense que ça échouera lamentablement mais peut-être que ça montrera à ces grosses boîtes qu'on en a marre qu'elles ne considèrent pas la sécurité quand ils s'agit de données perso
Enfin pas en France puisqu'on a toujours pas de class action....
Edité par jackjack2 le lundi 6 août 2012 à 11:31
INpactien
C'est pas bien ce qu'ils ont fait! Pas content
Par contre, on fera rien hein faut pas déconner
Qu'est ce que tu voudrais qu'ils fassent?
INpactien
INpactien
La CNIL n'a aucun pouvoir de sanction.
INpactien
La CNIL n'a aucun pouvoir de sanction.
Faudra les mettre au courant alors : http://www.cnil.fr/vos-responsabilites/les-sanctions-de-a-a-z/
Edité par jackjack2 le lundi 6 août 2012 à 11:45
INpactien
Faudra les mettre au courant alors : http://www.cnil.fr/vos-responsabilites/les-sanctions-de-a-a-z/
Ça a pas toujours été le cas alors
INpactien
Yahoo a merdé, c'est vrai.
Mais Yahoo Mail est gratuit. Le plaignant n'a jamais payé un centime de sa poche pour utiliser Yahoo. On a la qualité de service qu'on paie ; autrement dit, quand on paye très peu, c'est normal d'avoir un service médiocre. Si le plaignant souhaitait bénéficier d'une bonne qualité de service, il n'avait qu'à prendre un prestataire de meilleure qualité.
Cette démarche est écœurante : le bonhomme a utilisé un service gratuitement, ça a fonctionné correctement pendant des années. Et quand le service est défaillant, il fait un procès.
De plus, d'après l'article :
Visiblement, le plaignant a merdé lui aussi. Utiliser des identifiants différents est une base de sécurité « connue depuis plus de dix ans »,
Ainsi, « en échouant à employer ces mesures de sécurité élémentaires et réputées, le plaignant s’est éloigné des règles de diligence raisonnables, et a faillit à son devoir de protéger ses informations personnelles. »
Pauvre homme, pauvre mentalité, jamais responsable, toujours plaintif.
Edité par Sylvain_Blandel le lundi 6 août 2012 à 12:06
INpactien
Il a payé le service pendant des années "grâce" à la pub.
Il peut avoir un mot de passe différent sur Ebay, si le compte est rattaché à son adresse mail, cela ne va rien changer...
INpactien
Et encore moins qu'il n'ai pas de responsabilité lorsqu'il y a fuite de données.
Si t'es pas foutus de sécuriser les données personnelles de tes users bah tu les demandes pas.
La défaillance d'un service c'est une chose (mail inaccessible pendant 1 journée) , la fuite d'informations personnelles en est une autre.
L'une touche au business l'autre aux libertés individuelles.
La personne qui dépose un plainte est ici non seulement dans son bon droit, mais en plus soulève un problème trop rarement soulevé au niveau législatif (malgrés qu'on soit en 2012).
ps (edit) : chez yahoo l'espace de cerveau disponible demandé est d'ailleurs bien trop cher pour un service aussi merdique.
Edité par jhulk le lundi 6 août 2012 à 15:06
INpactien
...
Cette démarche est écœurante : le bonhomme a utilisé un service gratuitement, ça a fonctionné correctement pendant des années. Et quand le service est défaillant, il fait un procès.
...
Pauvre homme, pauvre mentalité, jamais responsable, toujours plaintif.
Je trouve la passivité de Yahoo particulièrement abusive (on parles d'une attaque connue depuis 10 ans).
Cette démarche est écœurante : sous couvert de fournir un service gratuit (en se rémunérant via la publicité affichée) on ne fait rien de concret quand il arrive une merde (merde qui n'aurait jamais du arriver).
Riche entreprise, mentalité d'entreprise à fric, jamais responsable...
-
Nouvelle Xbox : suivez la conférence en direct, à partir de 19h
(28)
Verra-t-on autre chose que la manette ? -
Libon : Sosh ajoute les fixes et les mobiles en Australie et aux Pays-Bas
(1)
Même prix : 5 € / mois -
La production de la future Xbox démarrerait au troisième trimestre
(2)
Foxconn semble s'activer en tout cas -
Nintendo occupe aussi le terrain avant la conférence de Microsoft
(7)
Avec un nouveau firmware pour la Wii U
-
20 % de remise sur des périphériques Trust
Valable jusqu'au 26 mai -
Sleeping Dogs pour 12,49 €
Valable jusqu'au 27 mai -
SimCity, Les Sims 3 et le DLC Saisons pour 59,99 €
Valable jusqu'au 29 mai -
Une Xbox 360 de 4 Go offerte pour l'achat d'un portable ASUS Vivobook
Valable jusqu'au 26 mai
