S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Divulgation de mots de passe : une victime porte plainte contre Yahoo!

Sortez couverts

Début juillet, un groupe de pirates divulguait 450 000 identifiants et mots de passe relatifs à des comptes Yahoo!, afin de souligner les problèmes de sécurité du géant de l’internet. Outre-Atlantique, une victime de ces révélations vient de porter plainte contre la société américaine, qui n’aurait selon lui pas suffisamment protégé ses données personnelles.

yahoo

 

Dans l’action de groupe (PDF, pointé par CNET) qu’il a déposée mardi dernier devant la cour de district de San José (Californie), Jeff Allan explique qu’il est l’un des utilisateurs Yahoo dont les identifiants et le mot de passe ont été divulgués aux alentours du 13 juillet par la D33Ds Company, un groupe de pirates informatiques. Dans les jours suivant cette divulgation, l’intéressé dit avoir reçu un avertissement de fraude de la part d’Ebay, site pour lequel il utilisait les mêmes éléments de connexion que pour son compte Yahoo.

 

D’après Jeff Allan, les pirates ont atteint la base de données de Yahoo au moyen d’une attaque par injection de SQL. Or, cette technique est selon lui « connue depuis plus de dix ans, et a déjà été utilisée pour des vols massifs de données contre Heartland Payment System [un intermédiaire de paiements bancaires, ndlr] ». De surcroît, le plaignant relève qu’en 2003, l’agence indépendante relative au droit de la consommation, la Federal Trade Commission, considérait les attaques SQL « comme des événements bien connus et prévisibles, qui peuvent et doivent être empêchés par des mesures de sécurité régulières ».

Protection insuffisante

Dès lors, Jeff Allan démontre que la société américaine n’avait pas chiffré de manière suffisante la base de données attaquée par les pirates, et que de ces « pratiques négligentes de sécurité » avait résulté la divulgation de ses données personnelles ainsi que de celles de nombreux internautes. « En échouant à employer ces mesures de sécurité élémentaires et réputéesexplique la plainte, Yahoo s’est éloigné des règles de diligence raisonnables, et a faillit à son devoir de protéger les informations personnelles » de ses utilisateurs.

 

Le plaignant réclame ainsi que la justice lui accorde un dédommagement, et qu’elle somme la société de prendre les mesures de sécurité nécessaires pour protéger les données de ses utilisateurs.

 

Rappelons que suite à cette divulgation, nous avions interrogé la CNIL au sujet des défauts de sécurisation des données personnelles. Gwendal Le Grand, chef du service de l’expertise informatique de l’autorité indépendante, nous avait expliqué que le stockage des mots de passe en clair était « une pratique à proscrire ». « S’il n’y a pas du tout de transformation du hachage et qu’un attaquant récupère les mots de passe hachés, cela peut être extrêmement facile de faire par exemple une attaque par force brute, où l’on va essayer tous les mots de passe possibles en appliquant la fonction de hachage jusqu’à tomber sur le résultat. Et cela peut aller très vite avec les machines d’aujourd’hui », avait-il averti. Voir notre interview de la CNIL sur les défauts de sécurisation des données personnelles.

Xavier Berne

Journaliste, spécialisé dans les thématiques juridiques et politiques.

Publiée le 06/08/2012 à 09:52

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 11 commentaires

Avatar de jackjack2 INpactien
jackjack2 Le lundi 6 août 2012 à 11:29:40
Inscrit le lundi 18 juin 12 - 643 commentaires
Rappelons que suite à cette divulgation, nous avions interrogé la CNIL au sujet des défauts de sécurisation des données personnelles. Gwendal Le Grand, chef du service de l’expertise informatique de l’autorité indépendante, nous avait expliqué que le stockage des mots de passe en clair était « une pratique à proscrire ». « S’il n’y a pas du tout de transformation du hachage et qu’un attaquant récupère les mots de passe hachés, cela peut être extrêmement facile de faire par exemple une attaque par force brute, où l’on va essayer tous les mots de passe possibles en appliquant la fonction de hachage jusqu’à tomber sur le résultat. Et cela peut aller très vite avec les machines d’aujourd’hui », avait-il averti. Voir notre interview de la CNIL sur les défauts de sécurisation des données personnelles.

En clair :
C'est pas bien ce qu'ils ont fait! Pas content sucre.gif
Par contre, on fera rien hein faut pas déconner



Quant à l'action contre yahoo, bravo. Je pense que ça échouera lamentablement mais peut-être que ça montrera à ces grosses boîtes qu'on en a marre qu'elles ne considèrent pas la sécurité quand ils s'agit de données perso
Enfin pas en France puisqu'on a toujours pas de class action....

Edité par jackjack2 le lundi 6 août 2012 à 11:31
Avatar de Schpountz42 INpactien
Schpountz42 Le lundi 6 août 2012 à 11:35:52
Inscrit le jeudi 26 février 09 - 2586 commentaires

C'est pas bien ce qu'ils ont fait! Pas content
Par contre, on fera rien hein faut pas déconner

Qu'est ce que tu voudrais qu'ils fassent?
Avatar de jackjack2 INpactien
jackjack2 Le lundi 6 août 2012 à 11:41:04
Inscrit le lundi 18 juin 12 - 643 commentaires

Qu'est ce que tu voudrais qu'ils fassent?


Appliquer ça ?
Avatar de Schpountz42 INpactien
Schpountz42 Le lundi 6 août 2012 à 11:42:56
Inscrit le jeudi 26 février 09 - 2586 commentaires

La CNIL n'a aucun pouvoir de sanction.
Avatar de jackjack2 INpactien
jackjack2 Le lundi 6 août 2012 à 11:45:15
Inscrit le lundi 18 juin 12 - 643 commentaires

La CNIL n'a aucun pouvoir de sanction.

Faudra les mettre au courant alors : http://www.cnil.fr/vos-responsabilites/les-sanctions-de-a-a-z/

Edité par jackjack2 le lundi 6 août 2012 à 11:45
Avatar de Schpountz42 INpactien
Schpountz42 Le lundi 6 août 2012 à 11:52:32
Inscrit le jeudi 26 février 09 - 2586 commentaires

Ça a pas toujours été le cas alors
Avatar de Sylvain_Blandel INpactien
Sylvain_Blandel Le lundi 6 août 2012 à 12:02:13
Inscrit le jeudi 18 octobre 07 - 132 commentaires
Je trouve la démarche du bonhomme particulièrement abusive.

Yahoo a merdé, c'est vrai.

Mais Yahoo Mail est gratuit. Le plaignant n'a jamais payé un centime de sa poche pour utiliser Yahoo. On a la qualité de service qu'on paie ; autrement dit, quand on paye très peu, c'est normal d'avoir un service médiocre. Si le plaignant souhaitait bénéficier d'une bonne qualité de service, il n'avait qu'à prendre un prestataire de meilleure qualité.

Cette démarche est écœurante : le bonhomme a utilisé un service gratuitement, ça a fonctionné correctement pendant des années. Et quand le service est défaillant, il fait un procès.

De plus, d'après l'article :
l’intéressé dit avoir reçu un avertissement de fraude de la part d’Ebay, site pour lequel il utilisait les mêmes éléments de connexion que pour son compte Yahoo

Visiblement, le plaignant a merdé lui aussi. Utiliser des identifiants différents est une base de sécurité « connue depuis plus de dix ans »,

Ainsi, « en échouant à employer ces mesures de sécurité élémentaires et réputées, le plaignant s’est éloigné des règles de diligence raisonnables, et a faillit à son devoir de protéger ses informations personnelles. »

Pauvre homme, pauvre mentalité, jamais responsable, toujours plaintif.

Edité par Sylvain_Blandel le lundi 6 août 2012 à 12:06
Avatar de noxee INpactien
noxee Le lundi 6 août 2012 à 12:19:40
Inscrit le mardi 13 octobre 09 - 7 commentaires
@Sylvain_Blandel :

Il a payé le service pendant des années "grâce" à la pub.
Il peut avoir un mot de passe différent sur Ebay, si le compte est rattaché à son adresse mail, cela ne va rien changer...
Avatar de Jhulk INpactien
Jhulk Le lundi 6 août 2012 à 15:02:56
Inscrit le dimanche 29 mai 05 - 52 commentaires
@Sylvain_Blandel : C'est pas parce que c'est gratuit qu'un fournisseur de services doit faire n'importe quoi avec les données personnelles de ses utilisateurs.
Et encore moins qu'il n'ai pas de responsabilité lorsqu'il y a fuite de données.
Si t'es pas foutus de sécuriser les données personnelles de tes users bah tu les demandes pas.
La défaillance d'un service c'est une chose (mail inaccessible pendant 1 journée) , la fuite d'informations personnelles en est une autre.
L'une touche au business l'autre aux libertés individuelles.
La personne qui dépose un plainte est ici non seulement dans son bon droit, mais en plus soulève un problème trop rarement soulevé au niveau législatif (malgrés qu'on soit en 2012).
ps (edit) : chez yahoo l'espace de cerveau disponible demandé est d'ailleurs bien trop cher pour un service aussi merdique.

Edité par jhulk le lundi 6 août 2012 à 15:06
Avatar de Winderly INpactien
Winderly Le lundi 6 août 2012 à 15:14:52
Inscrit le vendredi 19 mai 06 - 7528 commentaires
Je trouve la démarche du bonhomme particulièrement abusive.

...

Cette démarche est écœurante : le bonhomme a utilisé un service gratuitement, ça a fonctionné correctement pendant des années. Et quand le service est défaillant, il fait un procès.

...

Pauvre homme, pauvre mentalité, jamais responsable, toujours plaintif.


Je trouve la passivité de Yahoo particulièrement abusive (on parles d'une attaque connue depuis 10 ans).
Cette démarche est écœurante : sous couvert de fournir un service gratuit (en se rémunérant via la publicité affichée) on ne fait rien de concret quand il arrive une merde (merde qui n'aurait jamais du arriver).
Riche entreprise, mentalité d'entreprise à fric, jamais responsable...
;