Ca va mal pour Yahoo! Les informations de Recode que nous vous rapportions hier ne sont pas exactes. La réalité est pire...

En effet, ce ne sont pas 200 millions mais 500 millions de comptes utilisateurs qui sont impactés par ce piratage. La société vient de le reconnaître. 500 millions de comptes sur le milliard environ que la société détient.

Ont été volés des noms, des adresses emails, des numéros de téléphone,des dates de naissances, des mots de passe hashés (par bcrypt majoritairement) et dans certains cas des questions de sécurité, cryptées ou non, ainsi que leurs réponses. Selon Yahoo!, aucun mot de passe non protégé, informations de cartes bancaires ou de comptes bancaires n'ont été volés.

Le piratage a eu lieu en 2014. Les pirates ne sont pas identifiés. Yahoo! considèrement que ce piratage d'envergure est l'oeuvre de hackers sponsorisés par une organisation gouvernementale. Une affirmation qui pourrait aggraver son cas, selon l'opinion de Nicolas Apargian (Ora,ge cyberdéfense), interrogé ce matin sur France Info.

Selon lui "l'attaque ne correspond pas aux centres d'intérêts d'un Etat. Les Etats essayent de viser les messageries de personnes qu'ils ont préalablement identifiées, décideurs politiques, responsables économiques, activistes et autres."

Il ajoute "Yahoo! est aujourd'hui devant un dilemme. Soit dire 'Je suis incompétent, je n'avais pas les outils me permettant de relever et d'identifier une attaque d'une telle ampleur' ou au contraire 'J'ai été menteur et j'ai dissimulé cette information mes clients'. Entre l'incompétence et la malhonnêteté,  Yahoo! va devoir choisir."

Situation très embarrassante pour Yahoo! qui essaie de se vendre pour 4,8 milliards de dollars à la société Verizon qui va nécessairement s'inquièter de savoir s'il reste des failles dans le système et si elle devra craindre des suites judiciaires en cas de rachat.

Yahoo! indique qu'elle commence à envoyer des mails à tous les utilisateurs potentiellement affectés par ce piratage et se fend de quelques conseils de sécurité ;-) dans son annonce : changer son mot de passe, surveiller les activité suspecte dans son compte, faire attention aux communications non sollicitées et ne pas cliquer sur des liens dans des mails suspects.