Plus de 450 000 mots de passe piratés chez Yahoo!

Suite à la divulgation d’un ancien fichier, Yahoo vient d’annoncer le piratage de plus de 450 000 mots de passe et identifiants. Un incident malheureux qui d’après de nombreux experts aurait pu être évité.

Quelques jours après la publication d’une liste de 453 491 adresses mails et mots de passe liée au sous-domaine Yahoo.com, par le groupe de hackers D33Ds Company, la firme de Sunnyvale vient de confirmer leur compromission. Les pirates, qui disent avoir eu recours à une injection SQL pour voler les données, déclarent avoir réalisé cette manœuvre non pas pour menacer mais pour alerter Yahoo ! sur ses failles de sécurité. « Nous espérons que les responsables de la gestion de la sécurité de ce sous-domaine vont prendre cela comme une alerte, et non comme une menace. Beaucoup de trous de sécurité exploités dans des serveurs Web appartenant à Yahoo! ont causé des dommages beaucoup plus importants que notre divulgation. S’il vous plait, ne les prenez pas à la légère » indique D33Ds Company.

Face à cette alerte, Yahoo a affirmé avoir pris les mesures nécessaires en changeant les mots de passe des utilisateurs concernés et en affirmant qu’il s’agit d’un vieux fichier comportant pour la plupart des identifiants obsolètes. Le fichier en question, qui appartenait au Yahoo Contributor Network, qui partage des informations avec plusieurs plateformes, contenait également des comptes Gmail et Hotmail. Les identifiants et mots de passe, qui étaient facilement accessibles, n’étaient pas chiffrés. Un manque de sérieux déplorable pour une telle entreprise, qui a complètement fermé les yeux sur les règles primordiales de sécurité. Ainsi, les excuses de Yahoo ! ne paraissent, pour le moment, pas suffisante pour faire oublier ce manque de vigilance, qui aurait pu causer bien plus de dégâts.