Discussion :

[Victor Vincent]

Un pirate expose les données de plus de 200 millions d’utilisateurs de Yahoo
sur le web obscur et les met en vente pour 3 bitcoins

Un hacker affirme détenir les infirmations de plus de 200 millions d’utilisateurs de Yahoo qu’il met en vente sur le web obscur. Alors que Yahoo déclare mener des investigations sur une éventuelle attaque, le hacker qui se fait appeler Peace_of_Mind, celui-là même qui est à l’origine de plusieurs autres attaques du genre a mis en vente le fruit de sa forfaiture sur le site TheRealDeal. Peace_of_Mind qui s’est aussi servi dans le passé de sites comme LinkedIn, MySpace, Tumblr, Fling.com ou encore VK.com a réussi à dérober les informations personnelles de plus de 800 millions d’utilisateurs sur différents sites et services.

D’après la description faite des données d’utilisateurs piratées de chez Yahoo, ces dernières dateraient de 2012 au moment de l’arrivée de Marissa Payer à la tête de l’organisation. Cette même année, un groupe de hackers dénommé D33ds avait déclaré avoir réussi à pirater Yahoo, mais la société avait alors rétorqué avoir perdu seulement les données de quatre cent mille utilisateurs durant l’incident.

Les plans du pirate pourraient être de solder rapidement les données qu’il détiendrait depuis 2012 pour éviter qu’elles ne perdent leur valeur. En effet, depuis le rachat de Yahoo par Verizon, ce dernier n’a pas encore fait savoir ce qu’il comptait adopter comme nouvelle politique concernant sa nouvelle acquisition. Dans le cas où Verizon déciderait d’intégrer les données de Yahoo dans d’autres services ou encore de les mettre tout simplement de côté du fait qu’elles sont compromises, ces dernières n’auraient plus aucune utilité pour un quelconque acheteur potentiel.

Les données volées par le pirate contiennent entre autres les noms d’utilisateurs, les dates de naissance ainsi que les mots de passe cryptés des comptes. Le hacker déclare qu’il échange ces données contre 3 bitcoins soient environ 1800 dollars américains. Certains enregistrements contiennent également les adresses email de récupération, les pays d’origine et les codes postaux des utilisateurs américains.

Les mots de passe qui ont été dérobés par le pirate ont été cryptés avec MD5, ce qui les rend vulnérables étant donné que ce système de cryptage de données est facilement déchiffrable. Yahoo déclare être au courant de la déclaration du pirate qui prétend détenir des informations sur ses utilisateurs et assure prendre cette annonce très au sérieux tout en faisant le maximum pour préserver la sécurité de ses abonnés. La compagnie ajoute que son équipe de sécurité travaille à déterminer les faits et encourage les utilisateurs à composer des mots de passe robustes, mais aussi d’éviter d’utiliser les mêmes mots de passe pour différentes plateformes.

Le désormais célèbre pirate a fini de devenir une vraie référence pour d’autres hackers qui mettent également des données en vente sur le site TheRealDeal. En effet, certains d’entre eux déclarent s’inspirer de Peace_of_Mind pour la simple raison que l’exposition des forfaits de ce dernier à travers les médias a boosté ses ventes. Il paraitrait que Peace_of_Mind a fait plus de 50 000 dollars américains de ventes rien qu’avec les données qu’il avait exposées sur LinkedIn. Cette nouvelle forfaiture pourrait permettre au pirate d’engranger jusqu’à 100 000 dollars de ventes dans les prochains mois.

Source : Motherboard

Et vous ?

Qu'en pensez-vous ?

Voir aussi

Chine : dix membres de la plus grande communauté de hackers éthiques ont été arrêtés par la police, quelles sont les raisons ?

[Volgaan]

Les mots de passe qui ont été dérobés par le pirate ont été cryptés avec MD5 (...)

"Cryptés" ? Sérieusement ? Déjà, on dit "chiffrer" en bon français, mais le terme le plus approprié dans le cas présent serait plutôt "hachés", car MD5 est un algorithme de hachage, pas de chiffrement

[math_lab]

"Cryptés" ? Sérieusement ? Déjà, on dit "chiffrer" en bon français,

Rhaa que ça m’énerve ce genre de disputes... Et en plus ton lien dit bien que crypter n'est pas faux, juste pas super précis. Crypter=cacher le message. Chiffrer=pareil mais avec des chiffres partout.

[Volgaan]

Rhaa que ça m’énerve ce genre de disputes... Et en plus ton lien dit bien que crypter n'est pas faux, juste pas super précis. Crypter=cacher le message. Chiffrer=pareil mais avec des chiffres partout.

Ben disons que ce site est censé être assez professionnel, donc la terminologie est d'autant plus importante, je trouve

Mais bon je suis d'accord, c'est pas le point le plus important de l'actualité, je pinaille un peu

[Neckara]

Et en plus ton lien dit bien que crypter n'est pas faux, juste pas super précis. Crypter=cacher le message. Chiffrer=pareil mais avec des chiffres partout.

Rhaa que ça m'énerve les gens qui ne savent pas lire...

Dans le cadre de la télévision à péage, on parle quasi-exclusivement de chaînes « cryptées », ce que l’Académie Française accepte : « En résumé on chiffre les messages et on crypte les chaînes ».

Le terme « cryptage » et ses dérivés viennent du grec ancien κρυπτός, kruptos, « caché, secret ». Cependant, le Référentiel Général de Sécurité de l’ANSSI qualifie d’incorrect « cryptage ». En effet, la terminologie de cryptage reviendrait à coder un fichier sans en connaître la clé et donc sans pouvoir le décoder ensuite. Le terme n’est par ailleurs pas reconnu par le dictionnaire de l’Académie française.

[psychadelic]

Rhaa que ça m’énerve ce genre de disputes... Et en plus ton lien dit bien que crypter n'est pas faux, juste pas super précis. Crypter=cacher le message. Chiffrer=pareil mais avec des chiffres partout.

Moi, je continuerai à utiliser et à préférer le mot " crypter ".

1 - c'est un mot inventé par un savant Français : André-Marie Ampère au 19e siècle.
http://gallica.bnf.fr/ark%3a%2f12148/bpt6k110453h
http://www.ampere.cnrs.fr/textes/ess...sciences_1.pdf

Enfin, le quatrième point de vue, où l'on achève de découvrir ce qu'il y a de plus caché dans l'objet qu'on étudie, recevra le nom de cryptologique.
=> « Essai sur la philosophie des sciences » par André-Marie Ampère.

2- je trouve le mot " chiffrer " trop ambigu => ex: chiffrer un projet (calculer sont coût).

3 - pour une fois que les Anglais nous piquent un mot Français, je vois pas pourquoi on devrai subitement renoncer à l'utiliser; certain vont même s'imaginer qu'il s'agit d'un Anglicisme !

4- ce n'est pas la première fois que les Académiciens se fourvoient, et sur ce coup la, ils ont préféré l'utilisation d'un terme détourné par des militaires (le bureau du Chiffre), pendant la première guerre mondiale, sans se rendre compte qu'il mettaient alors dans l'ombre un grand savant Français.
http://www.cf2r.org/fr/notes-histori...ay-en-1904.php


5 - comme de toutes façons le terme de Cryptage est admissible, et devient de plus en plus employé (ça à du au moins commencé quand on à parlé canal+: la chaîne cryptée), moi aussi ça m'énerve que certains continuent à s'arc-bouter sur des problèmes d'utilisation de termes communément admis par une vaste majorité de locuteurs.
Cà fait un peu schtroumpf à lunette, non ?
Alors que justement, dans ce cas précis, ils ignorent l’origine des termes qu'ils défendent ou contredisent.

[Neckara]

1 - c'est un mot inventé par un savant Français : André-Marie Ampère au 19e siècle.
http://gallica.bnf.fr/ark%3a%2f12148/bpt6k110453h

Illisible, impossible de faire une recherche par mot clés.

http://www.ampere.cnrs.fr/textes/ess...sciences_1.pdf

Où vois-tu une seule utilisation du verbe "crypter" ?
J'ai fais une rechercher avec "crypt", je ne tombe que sur des crypto*.

Enfin, le quatrième point de vue, où l'on achève de découvrir ce qu'il y a de plus caché dans l'objet qu'on étudie, recevra le nom de cryptologique.
=> « Essai sur la philosophie des sciences » par André-Marie Ampère.

Quel rapport avec le verbe crypter ?

moi aussi ça m'énerve que certains continuent à s'arc-bouter sur des problèmes d'utilisation de termes communément admis par une vaste majorité de locuteurs.
Cà fait un peu schtroumpf à lunette, non ?

Et on a qu'à s'exprimer en SMS ! C'est admis chez les jeunes.
Et lorthgrphe on san fou ! On conpran kan mem.

Si on établit des conventions, ce n'est pas pour rien...

Alors que justement, dans ce cas précis, ils ignorent l’origine des termes qu'ils défendent ou contredisent.

On est toujours ouvert à des éléments d'explications, pourrais-tu donc nous en apporter ?

[psychadelic]

Ok, alors puisqu'il faut être plus précis….

Ampère est le premier à classifier en science les activités liée à la cryptologie, en choisissant d'utiliser des termes Grec pour la nommer.

De cette formulation initiale sont alors formés les différents termes utilisé dans cette science, comme « cryptologue », « cryptanalyse », et autres termes, et montre ainsi que le verbe « crypter » est bien d'originaire Française, n'en déplaise à certains.

Et Il n'a pas choisi de nommer cette science " la Chiffrologie "....

[belamirdz0015]

Salut
Comment savoir que mon compte est décrypté a Yahoo?!

[Kharkovi]

Bonjour,

Tu peux vérifier à ce lien: https://haveibeenpwned.com/

[dasdeb]

En effet, la terminologie de cryptage reviendrait à coder un fichier sans en connaître la clé et donc sans pouvoir le décoder ensuite.

Ce n'est pas sensé être le cas des mot de passe justement ?

[Neckara]

Ce n'est pas sensé être le cas des mot de passe justement ?

Tu veux parler des fonctions de hachage ?

Sauf que ce sont des fonctions à sens unique et qui n'ont pas d’algorithme de déchiffrement.

[yoyo3d]

Yahoo confirme le piratage de plus d’un demi-milliard de comptes
la société attribue l’attaque à un groupe parrainé par un État

Au cours des derniers mois, les réseaux sociaux et d’autres opérateurs du web ont été alertés, alors qu’un hacker surnommé Peace s’est mis à vendre des bases de données d’utilisateurs sur le dark web. LinkedIn, MySpace, VK.com ou encore Yahoo étaient concernés. Plus de 800 millions de comptes de différents sites et services étaient sur le marché, dont 200 millions pour Yahoo uniquement.

Le piratage des comptes Yahoo datait de 2012 au moment de l’arrivée de Marissa Payer à la tête de la société de services internet. Cette même année, un groupe de hackers dénommé D33ds avait déclaré avoir réussi à pirater Yahoo, mais la société avait minimisé l’ampleur de l’attaque en évoquant seulement 400 000 comptes concernés.

Vendue pour 3 bitcoins (1800 $), la base de données piratée contenait entre autres, les noms d’utilisateurs, les dates de naissance, des mots de passe chiffrés, et parfois des adresses e-mail de récupération de compte, les pays d’origine et des codes postaux pour les utilisateurs américains.

Après avoir mené des investigations sur un éventuel piratage de son réseau, Yahoo vient de livrer ses conclusions. Au-delà de notre expectative, Yahoo reconnait un piratage d’une plus grande ampleur : le fournisseur de messagerie reconnait avoir été victime, en 2014, d’un piratage touchant plus de 500 millions de comptes. Mais dans un communiqué, la société de services internet soupçonne également que l’attaque ait été menée par des acteurs sponsorisés par un État : « Une enquête récente de Yahoo a confirmé qu'une copie de certaines informations de compte d'utilisateur a été volée dans le réseau de l'entreprise à la fin de 2014, par un acteur que nous croyons être parrainé par un État. Les informations de compte peuvent inclure des noms, des adresses e-mail, numéros de téléphone, dates de naissance, mots de passe hachés (la grande majorité avec bcrypt) et, dans certains cas, les questions et réponses de sécurité chiffrées ou non. »

D’après l'enquête en cours, les informations volées ne contiendraient pas les données de cartes de crédit ou autres informations de compte bancaire. Yahoo assure également que ces données ne sont pas stockées sur le système qui a été affecté. En ce qui concerne l’éventuel acteur parrainé par un État, la société ne donne aucune précision, mais sur la base de l’enquête, elle affirme que ce dernier ne serait pas actuellement dans le réseau de Yahoo.

Alors que Yahoo travaille avec la police sur cette question, le fournisseur de messagerie dit avoir notifié les personnes potentiellement affectées pour leur demander de changer rapidement leur mot de passe. Les questions et réponses de sécurité non chiffrées ont également été invalidées de sorte qu’elles ne puissent plus être utilisées pour accéder aux comptes. Entre autres mesures, tous les utilisateurs qui n’ont pas changé leur mot de passe depuis 2014 sont encouragés à le faire.

À l’ensemble des utilisateurs de Yahoo, la société demande de respecter des mesures de sécurité comme :

• changer les mots de passe, questions et réponses de sécurité pour tous les autres comptes pour lesquels vous avez utilisé des informations identiques ou similaires à celles utilisées pour votre compte Yahoo ;
• se méfier des communications non sollicitées dans lesquelles l'on vous demande des renseignements personnels ou vous réfère à une page web demandant des informations personnelles ;
• éviter de cliquer sur des liens ou de télécharger les pièces jointes d'e-mails suspects ;
• etc.

Source : Yahoo !

Et vous ?

Pensez vous que le portail américain doit craindre une fin proche (inquiétude des utilisateurs / désintérêt des actionnaires de Verizon) ?

Voir aussi :

Un pirate expose les données de plus de 200 millions d'utilisateurs de Yahoo sur le web obscur et les met en vente pour 3 bitcoins

[Shepard]

- Parrainé par un état
- Vendu 1800€

Je sais pas vous mais moi ça me surprend

[yoyo3d]

Moi, ce qui m'interpelle, c'est le ratio entre les données rattachées à 200 millions de comptes (même cryptées / chiffrées) et le montant rachitique de la transaction....

[marsupial]

Vous voyez un Etat monter une attaque pour voler 500 millions d identifiants Yahoo ? Pas moi.

[Sunchaser]

Ma grande surprise, cela n'a pas été l'annonce d'un gros piratage, mais que Yahoo existait encore !

[NSKis]

Vous voyez un Etat monter une attaque pour voler 500 millions d identifiants Yahoo ? Pas moi.

Lorsque l'on se fait pirater, il vaut mieux affirmer que l'on a été la victime d'un Etat plutôt que d'un simple étudiant boutonneux... On a l'air moins con

[Stéphane le calme]

Piratage de Yahoo : un utilisateur poursuit l'entreprise pour « négligence »,
le rachat de Yahoo par Verizon pourrait en pâtir

Après avoir mené son enquête, Yahoo a reconnu avoir été la victime d’un piratage qui date de 2014 et concerne plus de 500 millions de comptes. Dans un communiqué, l’entreprise a évoqué une attaque par une entité sponsorisée par un État : « une enquête récente de Yahoo a confirmé qu'une copie de certaines informations de compte d'utilisateur a été volée dans le réseau de l'entreprise à la fin de 2014, par un acteur que nous croyons être parrainé par un État. Les informations de compte peuvent inclure des noms, des adresses e-mail, numéros de téléphone, dates de naissance, mots de passe hachés (la grande majorité avec bcrypt) et, dans certains cas, les questions et réponses de sécurité chiffrées ou non ».

Yahoo a fait son annonce jeudi 22 septembre. Mais le vendredi 23 septembre, le groupe a été poursuivi pour « négligence grave » par Ronald Schwartz, un résident de New York qui vise le statut de recours collectif qui va représenter tous les utilisateurs américains de Yahoo! affectés par le vol de leurs informations personnelles. Il entend réclamer des dommages et intérêts. Ses avocats ont déposé la plainte à San Jose (Californie), dans le même État que la maison mère de l’entreprise. À ses côtés, Schwartz à deux spécialistes des recours collectifs : les cabinets Robbins Geller Rudman & Dowd et Labaton Sucharow

La plainte suggère que Yahoo aurait pu éviter le piratage s’il avait renforcé ses mesures de sécurité étant donné qu’il avait déjà été la cible de pirates par le passé et n’a donc pas tenu à sa promesse de prendre « très au sérieux » la vie privée de ses utilisateurs : Yahoo a démontré de la « négligence à l'égard de la sécurité des informations personnelles de ses utilisateurs qu'il a promis de protéger ».

Schwartz reproche également à Yahoo d’avoir attendu près de deux mois pour faire un communiqué concernant la faille, ce qui est illégal dans 47 États aux Etats-Unis, qui requièrent que les entreprises qui ont été victimes d’un piratage le fassent savoir à leurs clients même si le délai varie d’un État à l’autre : certains demandent d’en informer les clients sur une période allant de 30 à 45 jours tandis que d’autres utilisent des termes plus généraux « aussitôt que ce sera utile » ou « sans délai déraisonnable ». Dans ces États, la période de notification peut être plus courte comme le montre un cas récent en Californie où l’avocat Aaron Tantleff, travaillant pour le compte de Foley and Lardner, a estimé que même deux semaines représentent un délai trop long.

Alors combien de temps a attendu Yahoo avant d’en informer ses utilisateurs ? Mais surtout pourquoi l’entreprise n’en a pas informé rapidement ses utilisateurs ? Une source proche de l’entreprise, qui a souhaité gardé l’anonymat, a affirmé ceci à propos du délai : « suite à un rapport plus tôt cet été (juillet 2016) d'un hacker qui a indiqué que 280 millions comptes utilisateurs sont en vente sur le marché noir, nous avons lancé une enquête interne et n’avons trouvé aucun éléments de preuve pour étayer les allégations du pirate. Après avoir terminé cette enquête, notre équipe de sécurité interne a continué de procéder à un examen plus large et plus profond de nos systèmes. Chemin faisant, elle a identifié des preuves du vol par un acteur parrainé par l'État qui a eu lieu en 2014 ». Cependant, même si cette affirmation s’avérait vérifiée, elle ne signifie pas nécessairement que Yahoo a respecté la loi.

Actuellement, Yahoo et Verizon ont négocié le rachat de l’ancienne gloire d’internet à hauteur de 4,8 milliards de dollars, rachat qui concerne l’acquisition du cœur de métier sur internet de Yahoo mais aussi plusieurs propriétés immobilières. Selon le spécialiste Dan Primack, cette poursuite pourrait bien affecter ce projet. La plus grosse menace à ce rachat se trouve dans un accord signé par les deux parties le 23 juillet 2016 qui avance que : « à la connaissance du vendeur, il n'y a pas eu d'incidents ou de réclamations de tiers alléguant, (i) atteintes à la sécurité : l'accès non autorisé ou utilisation non autorisée d’un des systèmes de technologie de l’information de l’une des filiales du vendeur ou (ii) la perte, le vol , l'accès non autorisé ou l'acquisition, la modification, la divulgation, la corruption ou toute autre utilisation abusive des données personnelles en possession du vendeur ou de l’une de ses filiales, ou d'autres données confidentielles détenues par le vendeur ou ses filiales (ou fournies au vendeur ou ses filiales par leur clients) en possession du vendeur ou de ses filiales, chaque cas (i) et (ii) pourrait raisonnablement avoir un effet défavorable important sur les affaires ».

Source : Fortune (recours collectif contre Yahoo), Fortune (analyse d'un paragraphe d'un accord signé entre Yahoo et Verizon)

Voir aussi :

Verizon va bientôt racheter Yahoo! pour 4,8 milliards de dollars, l'entreprise va bénéficier du cœur d'activité dans les services en ligne de Yahoo!

[marsupial]

Nul n est a l abri d un piratage, mais la plus grave des negligences restera de laisser 2 ans entre le piratage et l information des utilisateurs avec les premieres mesures basiques. Et laisser 3 mois de latence entre l annonce, l investigation qui officiellement ne trouve rien et subitement elle trouve quelque chose lorsque les donnees se retrouvent sur le net. Entre temps, Les pirates ont du bien profiter. Faire porter le chapeau a un hypothetique Etat dont ce n est vraiment pas le domaine de predilection, prouve le niveau de securite.
Je comprends de ce fait la plainte deposee.