Un pirate a mis en vente sur le marché noir les identifiants de connexion de 200 millions de comptes d’utilisateurs de Yahoo. Les informations sont proposées sur TheRealDeal, un espace du darknet où l‘on peut se procurer des biens numériques illégaux. N’importe qui peut donc acheter ce lot d’identifiants Yahoo pour 3 bitcoins, soit 1824 dollars. Le pirate, connu sous le pseudonyme « peace_of_mind », a affirmé qu’il avait déjà vendu les identifiants des utilisateurs de LinkedIn et de Tumblr. Dans un bref message, il prétend qu’il s’est procuré cette base de données Yahoo auprès du groupe russe qui s’était introduit dans les systèmes de LinkedIn, de Tumblr et de MySpace. Toujours selon le pirate, cette base de données contenant les identifiants des comptes Yahoo date « très probablement » de 2012. Il affirme par ailleurs en avoir déjà vendu plusieurs copies. Même si ces informations remontent à 4 ans, les utilisateurs de Yahoo vont sans doute préférer réinitialiser leurs mots de passe.

Hier, Yahoo a déclaré qu'il était « conscient » que la base de données volée était en vente, mais n'a ni confirmé ni nié la validité des informations proposées. « Notre équipe de sécurité est à pied d’œuvre pour vérifier les faits », a indiqué l’opérateur web dans un courriel. En 2012, Yahoo avait effectivement signalé un piratage de ses systèmes, mais n’avait parlé à l’époque que de 450 000 comptes. Un groupe de hackers appelé D33ds Company avait revendiqué l’intrusion, mais Yahoo avait déclaré que la plupart des mots de passe volés étaient invalides. On ne sait pas si ce piratage est lié à la vente des 200 millions d’identifiants de comptes.

Des mots de passe déchiffrables avec un décrypteur MD5

D'autres chercheurs en sécurité ont aussi remarqué qu’un pirate russe connu sous le nom de « Collector », revendait des dizaines de millions d’identifiants de connexion à des comptes mail Yahoo, Gmail et Hotmail. Dans l’échantillon de la base de données de Yahoo vendue par le hacker « Peace_of_mind », on trouve les adresses électroniques des utilisateurs, ainsi que les mots de passe hachés avec l'algorithme MD5. Ces derniers pourraient facilement être craqués en utilisant un décrypteur MD5 disponible en ligne. La base de données contient également des adresses de messagerie de secours, ainsi que les dates de naissance des utilisateurs.

En essayant plusieurs adresses de messagerie figurant dans cet échantillon, notre confrère d’IDG News Service a remarqué que la page de connexion de Yahoo les reconnaissait et demandait ensuite un mot de passe. En revanche, d'autres adresses n'étaient plus valides. « Même si Yahoo n'a pas confirmé le vol de données, les utilisateurs devraient changer leurs mots de passe », a conseillé par courriel Adam Levin, président de l’entreprise de sécurité IDT911. Il a aussi rappelé aux utilisateurs de ne pas utiliser les mêmes mots de passe pour leurs différents comptes Internet.