L'intrusion dans les sytèmes de Yahoo a permis le vol de 450 000 identifiants et mots de passe à partir d'un site accessible depuis le portail web. Selon les experts, l'opérateur de services Internet n'a pas pris les précautions les plus élémentaires pour protéger les données de ses abonnés. Les experts en sécurité ont été choqués de constater qu'un géant comme Yahoo stockait dans sa base de données des mots de passe sans les crypter. La série en question était conservée en texte brut, si bien qu'elle était très facile à pirater et d'en voir le contenu. « On peut simplement dire que leurs exigences en matière de sécurité sont très pauvres », a déclaré Marcus Carey, chercheur en sécurité chez Rapid7. « Il ne s'agit même pas de sécurité primaire. C'est du développement de base ».

Yahoo a décliné une demande d'interview et a seulement confirmé par mail que le vol de données avait eu lieu mercredi. La société explique qu'un « ancien fichier », contenant environ 450 000 noms d'utilisateurs et leurs mots de passe, a été volé dans son réseau de producteurs de contenus, le Contributor Network, un réseau de contributeurs qui alimente les très nombreux sites web de Yahoo. Il permet à des internautes, des journalistes pigistes, de publier des articles liés à l'actualité, des photos et des vidéos sur les sujets de leur choix pour Yahoo Voices en échange d'une « rémunération ». Le réseau a été créé en 2010 par Yahoo suite à l'acquisition de Associated Content.

95% des mots de passe ne sont plus valides

« Plus de 95% des mots de passe figurant dans les données volées ne sont plus valides », a déclaré Yahoo. « Nous avons pris des mesures immédiates pour réparer la faille qui a conduit à la divulgation de ces données. Nous avons demandé à tous les utilisateurs Yahoo concernés de modifier leurs mots de passe et nous avons informé les entreprises dont les comptes utilisateurs ont été compromis», indique encore le communiqué.

L'intrusion a eu des répercussions bien au-delà de Yahoo, parce que le portail permettait aux internautes s'enregistrant sur le Contributor Network d'utiliser les mêmes informations d'identification pour se connecter à d'autres sites. Marcus Carey, qui a décortiqué le processus, mentionne les sites Gmail de Google, Hotmail de Microsoft, AOL, Comcast et Verizon.

Un groupe de hacker du nom de D33Ds Company a revendiqué le piratage, et mis en ligne sur son site Internet un message disant que l'attaque était un avertissement. « Nous espérons que les responsables de la sécurité de ce sous-domaine vont réagir et prendre des mesures appropiées », a indiqué le groupe dont les propos ont été repris par certains médias. « L'exploitation de failles de sécurité dans de nombreux serveurs web appartenant à Yahoo a causé des dommages beaucoup plus importants que cette liste que nous rendons publique aujourd'hui. Ne prenez pas cela à la légère », ont-ils ajouté. Ceux-ci précisent qu'ils ont utilisé une méthode d'attaque courante, dite par injection de code SQL, pour accéder à la base de données qui alimentait le serveur hébergeant le site. Une injection SQL consiste généralement à envoyer des commandes via un champ de recherche ou une URL pour s'introduire sur un site mal sécurisé.

Une sécurité globale en faillite

Pour Tony Perez, directeur opérationnel chez Sucuri, qui travaille avec des entreprises de défense pour développer des applications sécurisées, « la faillite de la sécurité globale de Yahoo est un mauvais service pour ses utilisateurs ». Ajoutant qu'« il y a de quoi se poser des questions. Si une entreprise de la taille de Yahoo agit de cette manière, si son réseau Yahoo Voice est ainsi exposé, qu'en est-il de tous ses autres sites ? »

L'intrusion de Yahoo s'est produite un mois après que le réseau social LinkedIn a reconnu le vol de 6,5 millions de noms d'utilisateurs et de mots de passe, postés ensuite sur un forum de pirates russes. Dans le cas de LinkedIn, les mots de passe étaient cryptés selon la méthode dite du hachage.