Eklablog Tous les blogs Top blogs Politique Tous les blogs Politique
Editer l'article Suivre ce blog Administration + Créer mon blog
MENU

Suivi quotidien, flash d'actualités touchant l'économie,culture,environnement, société, politique,poésie, l'international.

Publicité

Un groupe de hackers pirate 453.000 comptes Yahoo!

Un groupe de hackers pirate 453.000 comptes Yahoo!

 

Par Fabien Soyez Mis à jour <time class="updated" datetime="12-07-2012T17:20:00+02:00;">le 12/07/2012 à 17:20</time> | publié <time datetime="12-07-2012T16:30:00+02:00;" pubdate="">le 12/07/2012 à 16:30</time> Réagir
Le logo du célèbre Yahoo! / Crédits photo: Webgrisu/Flickr sous licence Creative Commons.
Le logo du célèbre Yahoo! / Crédits photo: Webgrisu/Flickr sous licence Creative Commons.
  •  

Affirmant vouloir rendre service à l'entreprise, des pirates informatiques ont récupéré et diffusé sur Internet les mots de passe de milliers d'utilisateurs.

Un mois après LinkedIn, Yahoo! est la nouvelle victime d'une fuite. Plus de 453.000 identifiants et mots de passe d'utilisateurs circulent sur Internet, à la suite d'une attaque touchant un service de Yahoo!.

Les hackers, qui ont revendiqué l'attaque informatique, appartiennent à un groupe nommé «D33Ds Company». Sur leur site hébergé en Ukraine - et surchargé jeudi à la mi-journée -, les pirates ont publié un fichier de 18 Mo, contenant 453.492 e-mails et mots de passe, selon le site spécialisé TrustedSec. Les mots de passe «étaient reliés à une grande variété d'adresses mail, incluant les adresses yahoo.com, gmail.com et aol.com», ajoute le site.

Faille de sécurité

Comment les pirates ont-ils pu accéder à autant de fichiers? En exploitant apparemment une faille de sécurité. D'après les principaux intéressés, cités par le site Ars Technica, les données extraites étaient stockées sans cryptage. Pour mener à bien leur attaque, les hackers auraient simplement combiné plusieurs techniques d'injection SQL, c'est-à-dire en injectant dans la base de données de Yahoo! plusieurs requêtes en langage SQL. Les requêtes servent à effectuer des opérations au sein d'une base de données.

Pour les hackers, il ne s'agit pas d'une attaque néfaste, mais d'un service rendu: «Nous espérons que les personnes en charge de la sécurité dans ce sous-domaine vont considérer ce hacking comme une volonté de réveiller leur conscience et non pas comme une menace», affirment-ils sur leur site. «Il y a eu par le passé de publications de failles de données qui ont causé à Yahoo! plus de dommages que notre publication. Ne les prenez pas à la légère», ajoute la D33Ds Company. Et d'ajouter, magnanimes: «Le nom du sous-domaine et les paramètres vulnérables n'ont pas été publiés afin de ne pas vous causer de dommages supplémentaires.»

Yahoo Voice contre Yahoo Voices

La provenance des mots de passe piratés divise les spécialistes. D'après TrustedSec, les comptes piratés viennent d'un «sous-domaine» (un «répertoire») de Yahoo Voice, un service de téléphonie sur Internet du groupe américain, utilisé par 600.000 internautes. Comme Skype, il permet de téléphoner gratuitement de poste à poste, aux États-Unis mais aussi en Espagne, en Allemagne et en France.

Mais pour John Koetsier, spécialiste en nouvelles technologies pour le site Venture Beat, les identifiants récupérés viendraient plutôt de Yahoo Voices, au pluriel, un autre service de Yahoo!. Sur ce portail, les internautes peuvent partager leurs vidéos et leurs articles. «Les 435.000 comptes hackés sont probablement pré-Yahoo! et viennent d'Associated Content, avant que Yahoo! le rachète», affirme John Koetsier. La faille viendrait ainsi d'un ancien fichier de mots de passe, appartenant à Associated Content, un éditeur de contenus participatif, racheté par Yahoo! en 2010 pour 100 millions de dollars. À l'époque, Associated Content s'appuyait sur un réseau de 380.000 internautes - «un chiffre proche des 400.000 mots de passe divulgués», remarque John Koetsier. Et d'exhorter les anciens contributeurs d'Associated Content de changer «au plus vite» leurs mots de passe.

Début juin, une série de failles dans la protection des données personnelles avait touché d'autres services, comme le site de rencontre eHarmony ou la radio en ligne Last.fm. Le réseau social professionnel LinkedIn avait, quant à lui, été la cible d'un groupe de hackers qui avaient diffusé sur Internet plus de 6,5 millions de mots de passe.

Par Fabien Soyez
Publicité
Retour à l'accueil
Partager cet article
Repost0
Pour être informé des derniers articles, inscrivez vous :
Commenter cet article