Yahoo va-t-il reconnaître le vol de 200 millions de comptes ?

L’année 2012 a bel et bien été une annus horribilis pour les services web. Beaucoup de vols de données ont eu lieu cette année-là. Mais à l’époque, la plupart des services touchés avait relativisé, voire minimisé le nombre de comptes compromis.

Depuis quelques mois, le passé les rattrape et un pirate du nom de « Peace » égrène sur le Dark Web des paquets contenant des données sur des millions de comptes issues de vols de 2012. On pense notamment aux 167 millions de comptes de Linkedin, 360 millions de comptes pour MySpace et 65 millions de Tumblr. Des doutes subsistent sur Dropbox qui a demandé à ses abonnés antérieurs à 2012 de changer leur mot de passe.

Mais au mois d’août dernier, Motherboard avait repéré sur le Dark Web une nouvelle vente de « Peace » concernant 200 millions de comptes Yahoo. Ces données vendus 3 bitcoins (soit environ 1800 dollars) peuvent contenir les noms d’utilisateurs, les mots de passe hachés avec l’algorithme MD5. Mais aussi les dates de naissance et, parfois, une adresse e-mail de secours.

Reconnaissance et effets collatéraux

Cette base de données est datée de 2012, le groupe de hacker nommé D33Ds Company avait alors revendiqué ce piratage. Petit hic, à l’époque, Marissa Mayer estimait le nombre de comptes compromis à 450 000. Un sacré écart avec la mise à disposition des 200 millions de comptes par « Peace ».

Selon le site Re/Code, la direction de Yahoo serait sur le point de reconnaître l’ampleur de ce piratage. Selon des sources proches de la firme, le gouvernement américain aurait diligenté une enquête sur l’étendu de cette intrusion au sein de Yahoo.

Avec l’annonce attendue cette semaine sur la reconnaissance d’un piratage massif, les regards vont se tourner vers l’acquéreur d’une partie des activités de Yahoo : Verizon. Ce dernier devrait payer 4,8 milliards de dollars. Avec cette affaire, une renégociation du prix pourrait être envisagée, tout comme la pérennité de la place de Marissa Mayer.