Un demi-milliard de comptes Yahoo ont bel et bien été hackés en 2014 « par un acteur cautionné par un État ». Le géant américain vient lui-même de le confirmer.
Ont été hackés les « noms, adresses e-mails, numéros de téléphone, dates de naissance, mots de passe et dans certains cas, les questions de sécurité » : il s’agit du piratage le plus grave qu’ait connu l’entreprise… et de l’une des intrusions informatiques les plus importantes de tous les temps.
Sean Sullivan, notre security advisor a expliqué sur CNN ce que devaient faire sans attendre les utilisateurs Yahoo :
Il s’est aussi longuement entretenu avec le Data Breach Today au sujet des implications plus larges de ce piratage.
Pour les utilisateurs, la leçon à tirer de cette attaque est double : il faudrait toujours faire appel à un niveau supplémentaire de protection — dans le cas présent l’authentification Yahoo à deux facteurs — et ne jamais réutiliser un mot de passe important.
Même si Yahoo chiffrait les mots de passe stockés, il était toujours possible pour les pirates d’y avoir accès, notamment si ces derniers étaient peu robustes.
Un ancien employé Yahoo a récemment confié à Reuters que les réponses aux questions de sécurité étaient volontairement non-chiffrées, afin de détecter plus facilement les faux comptes utilisant inexorablement les mêmes réponses.
Sean Sullivan explique qu’il utilise, pour les questions de sécurité, des réponses délibérément absurdes, et ce, afin que personne — pas même des utilisateurs le connaissant ou le suivant sur les réseaux sociaux — ne puisse les deviner. Il vous recommande de faire la même chose.
Que devriez-vous faire dès à présent ?
Sean Sullivan vous recommande de « marcher, plutôt que de courir ». Rendez-vous sur votre compte Yahoo, modifiez votre mot de passe et vos questions de sécurité. Si vous les avez utilisés sur d’autres sites, faites de même. Utilisez pour chaque site des mots de passe/réponses uniques.
Assurez-vous de créer des mots de passe « non-humains ». Évitez donc les schéma du type yahoo1985. Faites en sorte qu’ils soient longs, qu’il soit difficile de s’en souvenir. S’ils comprennent entre 20 et 32 caractères, ils sont alors quasiment invulnérables, comme l’explique notre senior researcher Jarno Niemelä.
Et pour éviter de vous emmêler les pinceaux, utilisez un gestionnaire de mots de passe comme notre F-Secure KEY, gratuit lorsqu’il est utilisé sur un seul appareil. Il vous permet également de stocker les réponses volontairement absurdes aux questions de sécurité.
Activez ensuite l’authentification à deux facteurs, si vous ne l’avez pas déjà fait.
Enfin, si vous vous demandez qui a pu mener l’attaque qui a visé Yahoo, Sean a son idée sur la question.
Catégories