Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
L’élection de Trump
Le piratage de Yahoo
La surveillance de masse de la NSA
La prise de conscience à l’égard des questions de confidentialité
La facilité d’utilisation de ProtonMail
Autres (à préciser en commentaires)
moi ça fai déjà un moment que j'utilise du sha384 ou un algo random(ceux d'une taille importante) dans les algo proposés par PHP
pour remplacer md5, php 5.5/5.6/7 propose nativement déjà une fonction password_hash()les mots de passe sont hashés avec l'algorithme MD5 ne mentionne nul part des questions de sécurité.
Mais bon je serais pas étonné déjà que Yahoo soit encore sous php4...
Non mais yahoo c'est 1 milliards de comptes inactifs depuis 10ans et 500 millions de boite mails poubelles.
Sur ce thème de la vie privée, de la surveillance de masse par les états, la perte de contrôle de notre "vie numérique", je vous conseille le livre de Tristan Nitot "Surveillance" qui vient tout juste de sortir : https://www.amazon.fr/Surveillance-l...dp/2915825653/
Il ne faut évidemment ne pas non plus tomber dans la paranoia et crier au complot, il ne s'agit pas du tout de cela.
Ce livre est vraiment très intéressant, il s'adresse à tout le monde
Ca fait vraiment froid dans le dos quand meme ces annonces !
J'ai toujours été frileux pour stocker mes données pro et perso sur le cloud, maintenant c'est hors de question !
Yahoo!... Cette société apparemment incapable de se centrer sur, et développer, son activité prinicipale,
ni d'assurer la sécurité des données de ses clients, et qui passe son temps à développer en secret un
logiciel pour scanner les emails entrants de ses clients pour le compte des services d'"intelligence"
américains:
Exclusive: Yahoo secretly scanned customer emails for U.S. intelligence - sources.
N'est-il pas "quelque peu" bizarre que la PDG de Yahoo!, Marissa Mayer, anciennement vice-présidente chez Google, soit en train de couler un concurrent de Google?
Comme c'est bizarre:
Quoi qu'il en soit, les détenteurs de compte Yahoo! peuvent télécharger/récupérer
en masse leurs photos sur Flickr (dont le propriétaire est Yahoo!), avant de clôturer leur compte Yahoo!:
You Can Now Bulk Download from Flickr Your Photos Really Do Belong to You
J'en pense qu'ils ont surtout trouvé un lampiste.
Le laxisme de la direction de Yahoo en matière de sécurité n'y est pour rien c'est sûr
Consultez mes articles sur l'accessibilité numérique :
Comment rendre son application SWING accessible aux non voyants
Créer des applications web accessibles à tous
YES WE CAN BLANCHE !!!
Rappelez-vous que Google est le plus grand aveugle d'Internet...
Plus c'est accessible pour nous, plus c'est accessible pour lui,
et meilleur sera votre score de référencement !
Yahoo annonce un autre piratage de plus d’un milliard de comptes
Yahoo annonce le piratage de plus d’un milliard de comptes
dans une autre violation de sécurité datant du mois d’août 2013
En septembre dernier, Yahoo a affirmé avoir été victime d’un piratage parrainé par un État et dans lequel plus de 500 millions de comptes d’utilisateurs avaient été affectés. La découverte de cette violation de sécurité fait suite à des investigations menées par la société après qu’une supposée base de données de ses utilisateurs a été mise en vente sur le dark web.
Pendant que Yahoo menait ses investigations pour avoir des réponses précises sur ce piratage de grande ampleur, le mois passé, la société a expliqué avoir reçu, des autorités chargées de l'application de la loi, de nouvelles données. Elles ont été fournies par un hacker affirmant qu’il s’agissait de données de comptes d’utilisateurs du fournisseur de messagerie. La société a donc dit qu’elle allait analyser et enquêter sur l'affirmation du hacker pour vérifier si les données sont bien celles de comptes de ses utilisateurs. Après enquête, Yahoo vient de confirmer qu’il s’agit effectivement des données de ses utilisateurs. Pire encore, des analyses plus poussées des données permettent à la société d’avancer qu’un intrus a eu accès à son système et volé des données associées à plus d’un milliard de comptes d’utilisateurs.
Cela confirme les propos d’un ancien employé de la société familier des pratiques de sécurité du fournisseur de services sur internet ; lequel avait dit que l'architecture des systèmes back-end de la société est organisée de manière à ce que le type de violation qui a été rapporté en septembre dernier ait pu exposer un nombre beaucoup plus important de comptes d'utilisateurs, jusqu’à un milliard plus précisément. Toutefois, Yahoo affirme qu’il s’agirait d’une autre violation de sécurité, qui daterait du mois d’août 2013.
« Pour les comptes potentiellement affectés, les informations de compte d'utilisateur qui sont susceptibles d’avoir été volées incluent les noms, les adresses email, des numéros de téléphone, des dates de naissance, des mots de passe hachés (en utilisant MD5) et, dans certains cas, des questions de sécurité chiffrées ou non chiffrées », explique Bob Lord, le responsable de la sécurité chez Yahoo. Il ajoute toutefois que « l'enquête indique que les informations volées n'incluent pas de mots de passe en texte clair, de données de carte de paiement ou d'informations bancaires ». Les données de carte de paiement et les informations de compte bancaire ne sont en fait pas stockées dans le système que la société croit avoir été piraté.
Il faut également préciser que Yahoo ne sait pas encore comment ces données ont été volées. « Nous n'avons pas été en mesure d'identifier l'intrusion associée à ce vol », annonce Bob dans son communiqué.
Yahoo a encore annoncé qu’un pirate a eu accès à son code propriétaire, et utilise ce code pour créer de faux cookies qui pourraient servir pour accéder à des comptes sans mot de passe. « Par ailleurs, nous avons déjà révélé que nos experts enquêtaient sur la création de cookies falsifiés qui pourraient permettre à un intrus d'accéder aux comptes des utilisateurs sans mot de passe. Sur la base de l'enquête en cours, nous croyons qu'un tiers non autorisé a accédé à notre code propriétaire pour apprendre à falsifier les cookies ». Yahoo explique que ses experts ont identifié des comptes d'utilisateurs pour lesquels ils croient que les cookies falsifiés ont été utilisés. Les titulaires des comptes touchés ont été notifiés et les cookies invalidés. Derrière cette attaque, Yahoo croit qu’il s’agirait du même acteur parrainé par un État.
Source : Yahoo
Et vous ?
Qu’en pensez-vous ?
Voir aussi :
Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités
La plus grosse surprise pour moi c'est qu'il y aie un milliard de compte Yahoo!
Sinon ça commence à être un peu lassant cette mode de toujours essayer de se dédouaner en disant que l'attaquant est une entité étatique pour minimiser la gravité auprès du grand public.
Les passwords hashés en MD5 c'est aussi une bonne blague. Décidément chez Yahoo! y'a pas que l'inovation qui s'est arrêtée en 2005.
S'il n'y avait que Yahoo, ce ne serait pas grave... Mais force est de constater que c'est l'ensemble des logiciels et systèmes connectés (de l'anodin site web lambda aux objets connectés en passant par les systèmes bancaires "sécurisés") qui démontrent tous les jours leur défaillance!!!Envoyé par Lyons
La plus grosse surprise pour moi c'est qu'il y aie un milliard de compte Yahoo!
Sinon ça commence à être un peu lassant cette mode de toujours essayer de se dédouaner en disant que l'attaquant est une entité étatique pour minimiser la gravité auprès du grand public.
Les passwords hashés en MD5 c'est aussi une bonne blague. Décidément chez Yahoo! y'a pas que l'inovation qui s'est arrêtée en 2005.
Et pendant ce temps, on vante à longueur de journée "le Cloud pour tous!"
plus d'un milliard de comptes piraté chez Yahoo...
j'aimerais connaitre le nombre de comptes (actifs) gérés par Yahoo... sachant qu'il y à 7,4 milliards d'être humains sur cette planète, que tout le monde n'est pas "informatisé" et que tout le monde n'a pas non plus un compte Yahoo, si ça se trouve ils se sont fait pirater 100% de leurs comptes...
il faut être honnête, aucune boite ne peut assurer la sécurité des données quelle stocke... on ne peut que faire attention aux données que l'on accepte de perdre... et pour ma part, ça commence par: pas de compte "tweetbookgram.etc" et aucune données dans le cloud (sauf à l'insu de mon plein grés). le plus dur c'est d'interdire l'accès à mon PC sans bloquer les mises à jour importantes.. je ne suis pas un pro...
Yahoo peut être fier d'avoir le record absolu de nombres de comptes piratés... Une belle entreprise qui est morte depuis des années, on le savait et ca ne fait que confirmer que la société n'est plus que l'ombre d'elle meme.
Piratage d'un milliard de comptes Yahoo : les données auraient déjà été vendues sur le dark web
Piratage d'un milliard de comptes Yahoo : les données auraient déjà été vendues sur le dark web
Trois acheteurs auraient versé chacun 300 000 $
Suite à une attaque qui daterait du mois d'août 2013 et qui a eu comme conséquence le piratage de plus d'un milliard de comptes d'utilisateurs, l'éditeur en ligne New York Times (NYT) vient de porter à l'attention du public que les données personnelles relatives aux comptes piratés sont actuellement mises en vente sur le dark web.
Pour rappel, les responsables de Yahoo avaient déclaré en septembre dernier que la société a été victime d’une cyberattaque dans laquelle plus de 500 millions de comptes d’utilisateurs avaient été piratés. Les investigations menées par Yahoo pour en savoir davantage sur cette attaque ont débouché sur une autre découverte. Le fournisseur de messagerie a annoncé le mois passé avoir reçu de nouvelles données provenant d’un hacker et qui appartiendraient à ses utilisateurs. L'analyse de ces données a permis à Yahoo de découvrir qu’un intrus a réussi à pirater plus d'un milliard de comptes d'utilisateurs dans une opération qui remonte au mois d’août 2013.
D'après le New York Times, Andrew Komarov, chief intelligence officer à InfoArmor, une société spécialisée dans la cybersécurité, a affirmé qu'en août dernier, un collectif de pirates localisés en Europe orientale avait déjà commencé à commercialiser les données des comptes d'utilisateurs piratés. Komarov aurait même soutenu que trois acheteurs ont pu être recensés, il s'agit de deux spammeurs très connus et d'une entité qui semblait être intéressée par l'espionnage. Ces derniers, d'après le communiqué, ont versé chacun la somme de 300 000 $ afin d'obtenir une copie complète de la base de données volée.
Pour information, les informations volées sont essentiellement constituées de noms d'utilisateurs, de dates de naissance, de numéros de téléphone et de mots de passe. Il faut également noter que les mots de passe en question étaient chiffrés, mais la méthode de chiffrement utilisée peut facilement être cassée par les hackers. Les pirates auraient également à leur disposition des questions de sécurité et des adresses email de secours, et ces informations sont en général utilisées dans le cadre de la réinitialisation de mot de passe. Selon le NYT, plusieurs millions d'adresses email de secours appartiennent à des employés de gouvernements de nombreux pays et concernent aussi bien les civils que les militaires. Le gouvernement américain et ses agences de renseignement dénombrent plus de 150 000 des leurs qui ont été victimes de cette attaque.
Source : New York Times
Et vous ?
Voir aussi :
Vous avez envie de contribuer au sein du Club Developpez.com ? Contactez-nous maintenant !
Vous êtes passionné, vous souhaitez partager vos connaissances en informatique, vous souhaitez faire partie de la rédaction.
Il suffit de vous porter volontaire et de nous faire part de vos envies de contributions :
ProtonMail : explosion du nombre d'inscriptions après l'annonce du piratage de Yahoo
ProtonMail : explosion du nombre d'inscriptions après l'annonce du piratage de Yahoo
Une performance que le service dédie à ses mesures de sécurité
Le piratage massif de Yahoo n’est pas passé inaperçu, affectant les données personnelles d’un milliard d’utilisateurs. Les victimes traumatisées ont commencé aussitôt à passer à des solutions alternatives portant plus d’attention à la protection de la vie privée en ligne. Parmi ces solutions, ProtonMail est l’un des services de messagerie qui a vu une montée en puissance du nombre de nouveaux utilisateurs. Il faut rappeler que durant le mois de novembre, après l’annonce de la victoire de Donald Trump dans les élections présidentielles américaines, ProtonMail a connu une ruée sans précédent d’utilisateurs cherchant à trouver un refuge de la surveillance de masse de la NSA.
Le recours des internautes à ProtonMail n’est pas surprenant, sachant que le service s’est bâti une réputation centrée sur la protection de la confidentialité et la sécurité des emails. Le service a commencé à se faire connaitre sur les réseaux sociaux notamment sur Twitter où de nombreux utilisateurs ont commencé à le clamer comme une alternative viable de Yahoo. À partir du 15 novembre le jour où le piratage de Yahoo a été annoncé, le nombre des inscriptions sur ProtonMail a explosé comme le montre la courbe suivante.
Après l'annonce du piratage de Yahoo, la hausse du nombre d'utilisateurs a été aussitôt multipliée par deux
Si les internautes commencent à passer à ProtonMail, ce n’est pas le fruit du hasard. Le service est reconnu mondialement pour sa sécurité, son respect de la vie privée ainsi que sa facilité d’utilisation. Tous ces atouts combinés ont su attirer les désœuvrés ayant fui Yahoo Mail. La hausse des inscriptions des utilisateurs depuis l’Allemagne a été particulièrement spectaculaire après que le gouvernement allemand ait publié une déclaration sans précédent conseillant aux citoyens allemands d’abandonner Yahoo au plus vite. Du jamais vu dans le monde de la sécurité informatique ! En conséquence, les utilisateurs allemands du service occupent désormais une portion plus importante de la base d’utilisateurs, surpassant de ce fait le pourcentage d’utilisateurs français et britanniques.
Il s’agit du troisième incident de sécurité majeur que Yahoo a connu en trois mois. Dans le premier incident, annoncé le 22 septembre, le nombre record de 500 millions de comptes ont été piratés. Le 4 octobre, des rapports ont révélé que Yahoo a aidé la NSA à mener des vagues de surveillance de masse sur les utilisateurs. Enfin, le 15 décembre, l’entreprise a informé le public que plus d’un milliard de comptes ont été piratés.
Cette révélation est d’autant plus spectaculaire parce qu’elle concerne non seulement un nombre énorme de victimes, mais elle affecte également le service de messagerie de l’entreprise. Le piratage des adresses email peut avoir des répercussions dangereuses sur la vie des victimes et de leur entourage. Dans l’attaque de Yahoo, les pirates ont pu dérober les données personnelles des utilisateurs incluant leurs noms et prénoms, les numéros de téléphone, les mots de passe, les dates de naissance et les réponses aux différentes questions de sécurité. Le pire, c’est que cette attaque a eu lieu depuis 2013, ce qui veut dire que les cybercriminels ont eu le temps pour bien fouiller et exploiter les adresses électroniques et toutes les informations sensibles qui y transitent chaque jour.
Dans un billet de blog, ProtonMail a expliqué que les emails sont particulièrement sensibles puisqu’ils sont souvent liés à d’autres services de grande importance. Si l’adresse email tombe, d’autres comptes tombent avec comme Facebook, Amazon, ou encore iTunes pour ne citer que ces exemples.
L’incident de Yahoo est d’autant plus spectaculaire, car en 2013, l’entreprise utilisait encore l’algorithme de hashage md5 pour protéger les mots de passe. md5 a été considéré comme étant cassé depuis plus d’une décennie maintenant. Le fait qu’une entreprise de la taille de Yahoo a eu recours à cette technologie a largement facilité le travail des pirates. Selon ProtonMail, l’usage de md5 en 2013 a été non seulement une négligence, mais montre aussi le désintérêt de Yahoo vis-à-vis de la sécurité des utilisateurs. Les données dérobées de Yahoo ont été repérées sur le Dark web, un milliard de comptes utilisateurs ont été mis en vente pour 300 000 dollars.
Assurer la sécurité des utilisateurs
Assurer une sécurité optimale est un objectif difficile à atteindre, surtout s’il s’agit de protéger des données. Face à cette réalité, ProtonMail a choisi une approche totalement différente, qui stipule que l’une des meilleures façons de protéger des données personnelles est simplement de ne pas avoir à les garder. ProtonMail a eu recours donc eu chiffrement du bout en bout pour se désengager de cette mission.
ProtonMail a expliqué dans son billet de blog que toutes ses boites de réception sont protégées avec un chiffrement du bout en bout, ce qui veut dire que les opérateurs du service n’ont pas la possibilité de lire les messages. Le point fort de cette mesure est d’empêcher quiconque de mettre la main sur les emails au cas où le service est piraté. ProtonMail a recours également à une protection beaucoup plus accrue qui ne nécessite pas de mot de passe transitant dans le réseau, ce qui réduit le risque d’une attaque de l’homme du milieu.
Malgré la robustesse de cette méthode, le chiffrement du bout en bout n’est pas implémenté par Yahoo et Gmail, car il ne permet pas le scan des données utilisateurs pour des fins publicitaires, une source de revenus incontournable pour les deux sociétés (Yahoo et Google). En effet, leur business model est centré sur l’exploitation des données des utilisateurs pour déterminer leurs centres d'intérêt et ainsi afficher des annonces ciblées, ce qui fait qu’ils ne privilégient pas toujours la sécurité. Du côté de ProtonMail, ils ont choisi de tirer leurs revenus directement des utilisateurs et non de quelconques partenaires commerciaux. Cet alignement des intérêts permet notamment de construire un service sécurisé de par sa conception, tout en étant en mesure d’ajouter des mécanismes de protection des données (comme le chiffrement fort de bout en bout) sans la contrainte de devoir rendre les données disponibles à des fins publicitaires.
Cet incident de Yahoo nous montre une fois encore à quel point il est primordial de faire connaitre les enjeux de la sécurité aux utilisateurs et de leur confidentialité pour qu’ils puissent choisir les services qui respectent leur vie privée.
Source : blog ProtonMail
Et vous ?
Voir aussi :
Une fonctionnalité propriétaire, simple, mais pourtant très pratique.
Ouaaah! Une info vantant les succès de Protonmail dont la source est le blog de... ProtonMail!
En d'autres mots, c'est de la pub à peine déguisée.
Indépendemment du fait que Protonmail offre ou non un service de qualité (à chacun de se faire son opinion), dire que sa croissance est due aux malheurs de Yahoo, c'est juste une vaste rigolade.
1. Est-ce que ces jolis graphiques ont été vérifiés par une entité indépendante? Cela m'étonnerait beaucoup donc il faut croire sur parole le service de presse de Protonmail qui nous annonce sa forte croissance. Et comme on sait tous, "exagérer le succès" n'est vraiment pas le genre du métier de publicitaire
2. Si croissance il y a, comment Protonmail peut dire que cela vient de Yahoo? Et bien, Protonmail ne peut pas le dire... Mais en le faisant, cela permet d'adosser le nom de Protonmail à celui de Yahoo, une vieille gloire du net, mais qui est encore mondialement connu!!!
PS: Cher développeur, si vous avez par hasard à faire connaître l'une de vos réalisations, n'oubliez pas d'ajouter dans votre communication une référence du sytle "Microsoft nous a fait parvenir une offre pour nous racheter" ou un "Nous envisageons de déposer plainte contre Apple pour violation de licence", cela fait "Leader mondial de quelque chose"
Pour accéder à la liberté de penser, d'exister, de choix ( politique, religieux, sociétal et/ou autres ), d'expression, d'informer, que ce soit individuelle et/ou collective, cela passe invariablement par le respect de la vie privée. Le web et Internet doivent alors en premier lieu garantir ces libertés minimales. Pour y arriver, la sûreté maximale possible doit être mise en place.
Au jour d'aujourd'hui, compte tenu de la situation géopolitique, il devient plus qu'urgent, sans chercher à juger et/ou condamner les actions passées de chacun, d'offrir à tous, gouvernants comme gouvernés, le même niveau de sécurité afin d'approcher et pouvoir garantir la plus grande équité.
De ce postulat philosophique, que ce soit Proton Mail et autres, toutes initiatives allant en ce sens ne peut être que saluées positivement.
Nous sommes au début de la route donc il reste possible et compréhensible de trouver des désaccords sur le chemin à suivre. Pourtant, les circonvolutions, atermoiements et tergiversations facilitent les tyrannies et le totalitarisme sur cette voie encore longue pour convaincre tout un chacun de la contre-productivité de ces agissements et méthodes dans l'avènement d'un monde juste.
Sans Justice, pas de paix.
Sans blague ? Et ça aussi alors ?Ouaaah! Une info vantant les succès de Protonmail dont la source est le blog de... ProtonMail!
En d'autres mots, c'est de la pub à peine déguisée.
http://www.developpez.net/forums/d15...rd-historique/
http://www.developpez.net/forums/d16...ctives-chrome/
http://www.developpez.net/forums/d16...mois-novembre/
Yahoo : des sénateurs américains frustrés par le manque de coopération
Yahoo : des sénateurs américains frustrés par le manque de coopération
veulent des clarifications sur les cyberattaques qui ont frappé l'entreprise
Après les déboires de sécurité qu’a connus Yahoo l’année dernière, deux sénateurs américains ont donné à la PDG de la firme Marissa Mayer jusqu'au 23 février pour répondre à leurs préoccupations concernant les deux fuites de données massives qu’a connues l’entreprise. Les deux sénateurs ont exprimé leur préoccupation concernant l’absence de volonté chez Yahoo à coopérer avec les membres du Congrès américain.
Les sénateurs John Thune et Jerry Moran ont envoyé une lettre à la PDG Marissa Mayer pour demander plus d’informations sur les deux cyberattaques qui ont conduit au vol des données d’un milliard et demi d’utilisateurs. La lettre a informé que les membres du Senate Commerce, Science, and Transportation Committee chargés de mener les investigations sur les cyberattaques ont été dans l’impossibilité de recevoir des réponses à leurs questions sur la fuite de données malgré plusieurs requêtes envoyées à Yahoo.
La lettre a rappelé aussi que l’annulation, à la dernière minute, d’un meeting prévu avec le staff de Yahoo inquiète les membres du comité sur la volonté de Yahoo de coopérer avec le Congrès en toute franchise afin de clarifier les circonstances des deux récentes attaques.
Les sénateurs ont listé des questions spécifiques pour Yahoo :
1. Concernant les incidents de 2013 et 2014, combien d’utilisateurs ont été affectés ? Veuillez décrire les efforts de Yahoo pour identifier et informer ces utilisateurs.
2. Par rapport aux incidents susmentionnés, quel type de données a été compromis selon Yahoo ? Est-ce que ces données incluent des informations sensibles ?
3. Quelles sont les mesures prises par Yahoo pour identifier et atténuer un préjudice potentiel aux clients liés à ces incidents ?
4. Quelles sont les mesures prises par Yahoo pour restaurer l’intégrité et améliorer la sécurité de leurs systèmes à la suite de ces attaques ?
5. En plus de répondre à ces questions, veuillez fournir un calendrier détaillé de ces incidents, incluant la découverte initiale de la cyberattaque de 2013 par Yahoo, l’investigation légale, les efforts de sécurité ultérieurs et les notifications envoyées aux agences de sécurité ainsi que les utilisateurs affectés.
Yahoo a admis avoir été victime à deux occasions de cyberattaques perpétrées par des pirates parrainés par un État. L’entreprise a révélé en septembre dernier que 500 millions de comptes ont été volés, dans le cadre de ce qui a été considéré comme étant la plus grande fuite de données de l’histoire. Mais en décembre, Yahoo a une fois encore annoncé avoir été victime d’une autre attaque causant le vol d’un milliard de comptes. Ces deux fuites ont été annoncées alors que Verizon se préparait à finaliser son offre pour racheter Yahoo pour 4,8 milliards de dollars. Après l’annonce de ces incidents, Verizon a affirmé qu’il s'était engagé à continuer les négociations pour le rachat.
Source : La lettre
Et vous ?
Voir aussi :
Une belle occasion pour Verizon de revoir le prix de Yahoo à la baisse(comme par hasard)
Répondre avec citation
Partager