Yahoo : 1 milliard de comptes hackés, comment se protéger ?

Publié le Vendredi 16 Décembre 2016 à 10:03
Photo : Yahoo Mail (Cnet)ZDNet - Yahoo fait très fort en battant son propre record : celui du nombre de comptes email compromis suite à une attaque. Le géant américain a ainsi reconnu ce mercredi avoir découvert récemment (sic) qu’une intrusion menée en août 2013 a permis le vol de plus d’un milliard de comptes utilisateurs. Il s’agit d’une attaque distincte de celle menée en 2014 portant sur 500 millions de comptes et qui ne fut rendue publique qu’en septembre dernier.

Dans les deux cas, les données personnelles (nom, prénom, adresse email, numéros de téléphone, date de naissance, mots de passe hachés, questions de sécurité) ont été dérobées mais Yahoo! précise que les informations liées à des cartes bancaires seraient sauves. Il y a donc des chances pour que vous soyez parmi les victimes. Si Yahoo Mail est moins populaire en France qu'aux Etats-Unis, il est souvent utilisé comme messagerie dormante, notamment pour des inscriptions diverses et variées à des services Web. Le danger : que le mot de passe utilisé soit le même pour d'autres sites bien plus sensibles... Voici donc les mesures à prendre pour vous protéger, les mêmes d'ailleurs que nous publions lors de la précédente affaire Yahoo.

Premièrement, si vous êtes titulaires d’un compte Yahoo, que cela soit Flickr ou Yahoo Mail, vous devriez changer votre mot de passe. Pour ce faire, rendez-vous sur votre page de compte Yahoo, puis dans le volet Sécurité du compte et choisissez l’option « Modifier le mot de passe. »

Choisissez un bon mot de passe. Cela signifie choisir un mot de passe dont vous serez capable de vous souvenir. Comme me l’expliquait Jonathan Yarmis, chercheur analyste de la société The Skills Connection « Les règles d’enregistrement trop lourdes pour un mot de passe sont un véritable gâchis. 17 lettres, des caractères différents, des nombres… Changés tous les 30 jours, sans la possibilité d’utiliser deux fois le même… Cela vous garantit que l’utilisateur va finir par l’écrire sur un post-it à moins de 5m de l’ordinateur. »

Il vaut mieux utiliser une phrase de passe aléatoire. Disons « LaSecuritédeYahooestDEPLORABLE ! » au hasard. Les attaques par brute force ont peu de chance de déchiffrer ce mot de passe, et il reste simple à retenir.

Si vous le voulez, vous pouvez également suivre les conseilsde Bruce Schneier. « Les gens ne parviennent pas à retenir des mots de passe suffisamment solides pour résister face aux attaques par dictionnaire. Ils seront bien plus sécurisés s’ils décident de choisir des mots de passe complexes et les notent. Nous sommes plutôt doués pour garder de façon sécurisée des bouts de papier. Je recommande donc d’écrire ses mots de passe sur un bout de papier et de les conserver avec le reste, dans son portefeuille. »

Le changement de votre mot de passe est uniquement le début. Les réponses aux questions de sécurité de Yahoo (par exemple le nom de jeune fille de votre mère) ont apparemment aussi été exposées. C’est une mauvaise nouvelle, car les internautes ont tendance à utiliser toujours les mêmes questions de récupération de mot de passe.

Yahoo recommande de désactiver complètement les questions de sécurité. J’irai même plus loin : si vous avez utilisé une question similaire sur un autre site, changez également celle-ci. Les cybercriminels l’utiliseront probablement contre vous.

"Un des aspects les plus préoccupants de ce vol massif est le fait que les questions et réponses de sécurité (dites questions personnelles) n’étaient pas cryptées. La plupart des utilisateurs ont utilisé des réponses valides à ces questions comme le nom de jeune fille de leur mère, la marque de leur première voiture ou leur premier animal de compagnie…  des informations qui pourraient être exploitées par la suite lors de nouveaux abus", ajoute Erwan Jouan, Territory Manager SEMEA chez Tenable Network Security.

Comment ? Vous n’avez pas utilisé votre compte Yahoo depuis des années ? Cela ne fait pas vraiment de différence, les données volées remontent à 2013. De plus, si vous êtes le genre de personne à réutiliser le même couple identifiant/mot de passe sur différents services, ces comptes sont potentiellement exposés à une attaque. Changez vos mots de passe sur ces différents comptes, maintenant. Ce n’est pas vraiment important de savoir si vous serez attaqués, la question est plutôt de savoir quand.

Vous pouvez également activer la double authentification sur votre compte Yahoo en l’activant sur la page d’administration de votre compte Yahoo. La méthode de Yahoo exige de vous envoyer un SMS sur votre téléphone pour authentifier vos connexions. Si vous avez compris tout cela, faites-le maintenant, pas de temps à perdre.