Yahoo! confirme le vol de 450 000 mots de passe non chiffrés

C'est bien une négligence de Yahoo! qui a permis à des pirates d'accéder à ses bases de données. Ces dernières contenaient des informations personnelles très mal protégées, auxquelles les pirates ont pu voir accès grâce à l'injection SQL.

Yahoo! confirme. Les 453 000 identifiants non chiffrés postés sur un forum bien connu des hackers hier provenaient bien de l'un de ses serveurs... C'est plus précisément une faille trouvée sur la plate-forme d'édition de contenu Yahoo! Contributor Network (ex-Associated Content), qui a permis l'attaque.

Les pirates avaient expliqué qu'il s'agissait d'une vulnérabilité, découverte sur un sous-domaine de Yahoo!, permettant de lancer des attaques par injection SQL. Cette faille est l'une des plus fréquemment détectée lors des audits de sécurité. Elle est généralement utilisée pour accéder aux bases de données des serveurs Web. Les détails que les pirates ont pu apporter donnent du crédit à cette piste.

De son côté, Yahoo! a également reconnu une faille, et expliqué "être en train de la corriger", sans donner plus de détails. La déclaration officielle tente également de minimiser l'incident, soulignant que les données étaient obsolètes et que seuls 5% des mots de passe concernés par la fuite étaient valides. Elle précise bien cependant que les identifiants publiés ne sont pas uniquement liés à des messageries Yahoo!, mais aussi, à celles, dans de grandes proportions, de comptes gmail.com, hotmail.com ou msn.com.

Des experts en sécurité n'ont cependant pas manqué de dénoncer les mauvaises pratiques de Yahoo, qui a stocké en clair les mots de passe. En outre, il est probable que les pirates aient eu accès à des informations personnelles sur les détenteurs des comptes. Dans sa déclaration officielle présentant ses excuses, Yahoo explique également être en train de changer les mots de passe des utilisateurs affectés, et d'alerter les entreprises concernées.

Pirate / Yahoo