Piratage de Yahoo : 1 milliard de personnes seraient concernées

1 milliard d’utilisateurs, et non 500 millions, seraient concernés par le piratage de Yahoo, réalisé courant 2014. Et peut-être plus encore, avec les comptes inactifs.

L’affaire a débuté cet été, avec la mise en vente des données d’authentification de 200 millions de comptes Yahoo (voir « 200 millions de comptes Yahoo en vente sur le Dark Web »). il aura fallu toutefois attendre près de trois mois pour que la firme admette avoir été piratée. Un souci qui n’a en fait pas touché 200 millions de personnes, mais 500 millions (voir « Yahoo avoue le piratage de 500 millions de comptes »). Depuis les doutes planent sur l’origine de l’attaque et le niveau de comptes volés.

Un ex-employé de la société indique à Business Insider que le piratage de Yahoo a probablement mené à la compromission d’un plus grand nombre de comptes utilisateurs. Pour lui, le chiffre de 500 millions ne peut être qu’un minimum. De fait, la structure du back-end de Yahoo fait que tous les identifiants sont centralisés. Un piratage ne peut donc porter que sur l’ensemble d’entre eux et non une partie. « Je crois que le nombre est plus grand que ce qui a été rapporté, indique la source de Business Insider. Comment Yahoo est arrivé au chiffre de 500 millions est un mystère. »

Fin 2013, Marissa Mayer indiquait que la société disposait de 800 millions d’utilisateurs actifs par mois. En 2014, à l’époque du piratage, ce nombre était compris entre 700 millions et 1 milliard. 1 milliard de personnes pourraient ainsi être concernées, et non 500 millions. Et peut-être même encore plus. Rappelons en effet qu’un grand nombre de comptes Yahoo sont dormants. Chose d’autant plus vraie que supprimer un compte Yahoo n’est pas une opération évidente à réaliser.

Entre 1 et 3 milliards

Le nombre total de personnes concernées par ce piratage pourrait donc être compris entre 1 et 3 milliards, estime l’ex-employé de la société. De quoi mettre de l’eau au moulin de ceux ayant assigné la firme en justice (voir « Piratage de Yahoo : après la stupeur, le procès »). Ces derniers demandent à Yahoo des dommages et intérêts. Ils risquent fort d’obtenir gain de cause auprès de la cour fédérale de San José. Le fait que Yahoo ait attendu deux ans pour avouer avoir été piraté devrait en effet jouer en sa défaveur.

La société a demandé à ses utilisateurs de changer leurs mots de passe. Espérons qu’elle profitera de l’occasion pour supprimer d’office les comptes inactifs, qui pourraient servir de relai pour du spam ou des actions de piratage. Malheureusement, ces derniers gonflent artificiellement le nombre d’utilisateurs de la firme. Il est donc probable que Yahoo traînera les pieds avant d’appliquer une telle mesure.

Un autre effet pervers devrait également surgir : le piratage en cascade des comptes qu’ont les utilisateurs auprès d’autres services. Combien ont en effet reçu leur mot de passe utilisateur sur leur mail Yahoo (piraté) ? Combien ont mis leur compte Yahoo (piraté) comme e-mail de changement du mot de passe d’autres sites ? Combien ont réutilisé le même identifiant (piraté) sur d’autres services en ligne ?

Lire aussi : Piratage : Citrix victime de “password spraying”