C'est la combien de fois que ça arrive ^^ j'ai l'impression que Yahoo son les pires en sécurité les pauvres
L’élection de Trump
Le piratage de Yahoo
La surveillance de masse de la NSA
La prise de conscience à l’égard des questions de confidentialité
La facilité d’utilisation de ProtonMail
Autres (à préciser en commentaires)
C'est la combien de fois que ça arrive ^^ j'ai l'impression que Yahoo son les pires en sécurité les pauvres
yahoo s'est fait pirater tous les compte mail d'un seul coup
mais il ont dit d'abbord que 500 million de compte avais été touche et cela deux-trois ans après les fait (super réactivité ) , puis 1 millard de compte quelque mois plus tard et récement la totalité.
Cela n'a pas arranger leur image.
J'ai toujours 2 comptes Yahoo, dont un avec une adresse que j'affectionne, mais j'ai aussi du Gmail, GMX et 1&1, tout ça dans mon client de messagerie. Le seul compte IMAP qui fonctionne mal est celui de Yahoo. Encore que GMX, j'ai l'impression que c'est pas extra non plus, mais j'utilise très peu cette adresse. Yahoo a aussi maintenant le Webmail le plus pourris d'entre tous je trouve. Et comme Orange, plusieurs mail légitimes arrivent dans les SPAM, comme ceux expédiés par Leboncoin (pratique pour la réactivé...). Bien sûr les SPAM ne sont pas paramétrables... Bref, mois aussi je vais me résoudre à laisser tomber Yahoo, ça sera bon pour ma santé
Une amie ne peut plus aller sur son compte Yahoo pour y consulter ses emails. Son mot de passe n'était pas extraordinaire non plus.Je pense qu'elle a subit un piratage de sa boite email. Quand on demande à yahoo la fourniture d'un nouveau mot de passe, ce dernier nous demande de nous identifier par un code envoyé par sms sur le numéro renseigné lors de la création de l'adresse email. Le souci, c'est que le numéro de tel renseigné est une ligne fixe donc elle ne reçoit pas ce sms.
Bien sûr impossible de pouvoir joindre une personne physique par tel, chat, email chez Yahoo.
Quelqu'un connait une manip ?
Merci pour vos réponses.
C'est osé de dire aux utilisateurs de mieux choisir leur mot de passe (de les accuser). Pour qu'autant de comptes se fassent si souvent crackés il faut vraiment qu'ils fassent de mauvais choix technique et refusent de se remettre en question. C'est sûrement plus rentable d'exploiter de la hotline du tiers-monde plutôt que des infrastructures plus solides et sécuritaires.
Le compte mail est LE compte où la sécurité doit être la plus critique, s'il y a bien une chose sur laquelle il faut prendre le temps de réfléchir sur Internet c'est bien ceci. Choisir un mot de passe c'est une chose mais son chiffrement et stockage ne sont pas de notre ressors avec ce genre de webmail et il est clair qu'il y a un problème à ce niveau. A défaut d'avoir un serveur mail chez soit (ça peut être risqué aussi, mais on a moins de chance de se faire attaquer chez soit que chez Yahoo) il faut au moins s'assurer d'utiliser un webmail reconnus comme sécuritaire (le contraire de Yahoo) qui renseigne sur les technologies qu'il utilise et qu'elles ne sont pas mauvaises. Mais de toute façon aucun moyen d'être sûr qu'un service tiers fasse bien ce qu'il dit, à moins d'avoir un accès spécial aux serveurs.
La solution proposée plus haut de revenir aux client lourds pour effacer les mails d'un serveur tiers n'empêchera pas quelqu'un de mal-intentionné et techniquement capable de faire appel aux "mot de passe oublié" mais ce serait une petite sécurité bonus.
D'après la news, seuls les condensats (hashs) des mots de passe ont été récupérés, les condensats de certains algorithmes (MD5, SHA-0, SHA-1) sont tous présents dans des grosses tables de correspondances disponibles, il suffit d'une recherche dans la table pour obtenir le mot de passe en clair. La première sécurité serait donc de s'assurer d'utiliser un algorithme plus solide pour générer les condensats (SHA-256 par exemple). Quel hash utilise Yahoo actuellement, si quelqu'un le sait ? Il faudrait aussi qu'ils sécurisent mieux leur SGBD (base de données) ou la change complètement pour que personne ne puisse aussi facilement récupérer les Hashs. Je ne sais pas non plus quelle SGDB ils utilisent ni sa configuration, quelqu'un le sait ? L'avantage de cacher les détails c'est que personne ne viendra vous dire que vous avez optez pour des solutions douteuses.
Ils préfèrent concentrer leur effort dans la traque des crackeurs qui opèrent surtout pour les réveiller en démontrant la faiblesse de leur infrastructure, vive la productivité...
Yahoo (comme les autres webmails) a une lourde responsabilité alors qu'il voit ses utilisateurs comme des numéros, c'est incompatible, ce genre de responsabilité ne devrait pas être confié à une société lucrative qui n'a de compte à rendre à personne (ou presque). C'est aux utilisateurs de se réveiller et de faire disparaître ce poison en arrêtant enfin de s'en servir, ce n'est pas ses gérants qui vont changer quoi que ce soit car c'est l'immobilité qui maintient sur le trône. Malheureusement ils ont intérêt à ce que les utilisateurs pensent de même et ils ont, par contre, les moyens pour ça : le changement fait peur et on n'a pas le temps, même si ça produirai une chose meilleure. L'inertie n'est pas le propre de l'Homme.
Il doit bien y avoir un moyen de contacter leur service technique (même si j'imagine qu'il doit être en surcharge permanente...) regarde plus en détail sur le site tu trouvera sûrement quelque chose. Ils ont obligatoirement un service technique vu l'ampleur de l'infrastructure.
Un hacker canadien écope de 5 ans de prison dans le piratage de 500 millions de comptes Yahoo
pour avoir travaillé pour les espions russes
En avril 2017, Roman Seleznev, un hacker russe est condamné à 27 ans de prison aux États-Unis pour vol de numéros de carte de crédit. Cette sentence est d'ailleurs la plus lourde jamais enregistrée aux États-Unis contre un hacker.
Hier, Karim Baratov, un jeune canadien de 23 ans a été condamné à cinq (5) ans de prison mardi pour son rôle dans le piratage d'au moins 500 millions de comptes Yahoo et pour avoir involontairement travaillé pour des espions russes, selon des agents fédéraux américains. En effet, Baratov a plaidé coupable en novembre dernier à neuf (9) accusations de piratage informatique. De plus, il a avoué avoir mis à disposition de ses clients un service de piratage de courriel sur le Web pour un montant de 100 $ depuis plus de 7 ans. Mais selon ctvnews, pour les procureurs américains, il était « un hacker international à embaucher » qui a piraté indistinctement pour des clients qu'il ne connaissait pas ou qu'il n'a pas vérifiés, y compris des douzaines d'emplois payés par le Service fédéral de sécurité de la Russie.
(Karim Baratov/ Photo prise sur Facebook)
Selon le ctvnews, pendant que le processus judiciaire suivait son cours après l'arrestation de Baratov en mars 2017 à Hamilton, les procureurs américains ont déclaré dans les journaux judiciaires que le site Web de Baratov en langue russe nommé « webhacker » annonçait des services de « piratage de comptes de courrier électronique sans prépaiement ». Aussi, les procureurs américains ont ajouté que le service de sécurité russe a embauché Baratov pour cibler des douzaines de comptes de courriel en utilisant l'information obtenue à partir du piratage de Yahoo. Les procureurs ont fait valoir que le Service fédéral de sécurité de la Russie visait les journalistes russes, les fonctionnaires des gouvernements américain et russe et les employés des services financiers et d'autres entreprises privées.
Pour justifier la peine de 5 ans de prison, le juge au cours de l'audience a déclaré : « La dissuasion est particulièrement importante dans une affaire comme celle-ci ». Aussi, le juge a rejeté l'appel des procureurs pour une peine de prison de près de 10 ans, notant l'âge de Baratov et un casier judiciaire vierge avant son arrestation.
Toutefois, il est important de de souligner selon ctvnews que les services de piratage de Baratov lui ont permis d'avoir plus 1,1 million de dollars. Néanmoins, Baratov s'est excusé auprès de ceux qu'il a piratés et a promis « d'être un homme meilleur » et d'obéir à la loi dès sa libération. Le juge a dit qu'il est probable que Baratov soit déporté une fois libéré de prison.
Source : ctvnews
Et vous ?
Qu’en pensez-vous ?
Cette peine ne parait-elle pas sévère ?
Voir aussi
Les États-Unis accusent deux hackers russes et deux agents du FSB du piratage des 500 millions de comptes Yahoo sur la base de l'enquête du FBI
USA : un hacker russe écope de 27 ans de prison pour vol de numéros de carte de crédit la sentence la plus lourde contre un hacker dans le pays
USA : un hacker russe reconnaît avoir utilisé un botnet pour infecter des milliers de serveurs dans le monde et gagné plusieurs millions de dollars
Yahoo accepte de payer 50 millions de dollars pour dédommager les victimes du piratage,
cela concerne les internautes américains et israéliens
Yahoo! a accepté lundi 22 octobre de payer 50 millions de dollars (43,8 millions d’euros) pour dédommager les victimes américaines et israéliennes des piratages qui ont touché ses services, révélés en 2016. Il a fallu attendre plus de trois ans pour que le vol de données, attribué aux Russes par le FBI, soit révélé au public et ce fut le rachat de la société par Verizon Oath business, spécialiste en télécommunication, qui a permis de le mettre à jour. La nouvelle, percutante à l’époque, avait entraînée un immense recours collectif dont les effets apparaissent enfin aujourd’hui.
Au total, ce sont trois milliards de comptes qui avaient été affectés partout dans le monde, rendant vulnérables des informations comme les noms, e-mails, numéros de téléphone et mots de passe au chiffrement peu robuste.
Il aura fallu deux ans de procédure pour parvenir à un accord préliminaire avec la justice californienne concernant 1 milliard de comptes, détenus par 200 millions d’internautes américains et israéliens entre 2012 et 2016.
Ceux-ci pourront alors réclamer une partie des 50 millions de dollars, à condition de montrer que le piratage leur a porté préjudice, souligne l’agence Associated Press – s’ils ont par exemple été victimes d’usurpation d’identité. En outre, Yahoo s’est engagé à rembourser à hauteur de 35 millions de dollars les frais d’avocats engagés lors des poursuites judiciaires à son encontre.
Yahoo a également décidé de fournir aux utilisateurs concernés aux États-Unis des services de surveillance du crédit pendant deux ans via AllClear, un package qui coûterait environ 350 $. Il existe également des options de compensation permettant aux petites entreprises et aux particuliers de récupérer les coûts des pertes associées aux piratages. Enfin, ceux qui ont payé pour des services de messagerie premium Yahoo sont éligibles pour un remboursement de 25%.
L’accord est soumis à l’approbation finale de la juge américaine Lucy Koh du district nord de la Californie, qui rendra son après une audience qui se tiendra le 29 novembre 2018.
Puisque Yahoo fait maintenant partie de Oath, les coûts seront répartis à parts égales entre Oath et Alaba, la société de portefeuille qui détient ce qui reste de Yahoo à la suite de l’acquisition. Le mois dernier, Altaba a révélé avoir accepté de verser 47 millions de dollars pour régler trois affaires judiciaires liées à la violation de la sécurité.
Yahoo estime que trois milliards de comptes ont été touchés par une série de violations qui ont débutées en 2013. L'intrusion aurait été une attaque commanditée par l'État russe, bien qu'aucune preuve solide n'ait été fournie au public pour appuyer cette affirmation.
L’incident n’a été annoncé publiquement qu’en 2016, quelques mois seulement après que Verizon a annoncé son intention d’acquérir les activités principales de Yahoo dans le cadre d’un contrat de 4,8 milliards de dollars.
Yahoo estimait alors que l’incident avait touché « au moins » 500 millions de comptes, mais il est apparu par la suite que des données relatives à trois milliards de comptes de Yahoo avaient été touchées. Une seconde attaque, un an plus tard, a permis de voler des informations comprenant des courriers électroniques et des mots de passe appartenant à 500 millions de titulaires de comptes Yahoo. Sans surprise, les énormes attaques ont amené Verizon à négocier un rabais de 350 millions de dollars.
Source : Le Monde
Voir aussi :
Yahoo continue de scanner vos mails pour fournir des données aux annonceurs, afin d'apporter des publicités plus ciblées
Un hacker canadien écope de 5 ans de prison dans le piratage de 500 millions de comptes Yahoo pour avoir travaillé pour les espions russes
Altaba (ex-Yahoo) condamnée à payer une amende de 35 millions de dollars par la SEC, qui l'accuse d'avoir caché un piratage qui a eu lieu en 2014
Mozilla et Yahoo engagées dans des procès après l'adoption du moteur de recherche Google par défaut sur Firefox Quantum au détriment de Yahoo
Firefox : Mozilla met fin à son accord avec Yahoo et adopte de nouveau Google comme moteur de recherche par défaut dans plusieurs régions du monde
Tiens donc pourquoi seulement ces 2 pays ? c'est ça la justice ? d'autant que le piratage provient très probablement de l'un de ces 2 pays.
Pour trouver le coupable, il faut bien souvent suivre l'argent.
Yahoo pourrait débourser jusqu'à 117,5 millions de dollars suite au recours collectif,
concernant la violation des données de ses utilisateurs
En septembre 2016, Yahoo a affirmé avoir été victime d’un piratage parrainé par un État et dans lequel plus de 500 millions de comptes d’utilisateurs avaient été affectés. La découverte de cette violation de sécurité fait suite à des investigations menées par la société après qu’une supposée base de données de ses utilisateurs a été mise en vente sur le dark web.
Après avoir mené son enquête, Yahoo a reconnu avoir été la victime d’un piratage qui date de 2014 et concerne plus de 500 millions de comptes. Dans un communiqué, l’entreprise a évoqué une attaque par une entité sponsorisée par un État : « une enquête récente de Yahoo a confirmé qu'une copie de certaines informations de compte d'utilisateur a été volée dans le réseau de l'entreprise à la fin de 2014, par un acteur que nous croyons être parrainé par un État. Les informations de compte peuvent inclure des noms, des adresses e-mail, numéros de téléphone, dates de naissance, mots de passe hachés (la grande majorité avec bcrypt) et, dans certains cas, les questions et réponses de sécurité chiffrées ou non ».
Yahoo a fait son annonce jeudi 22 septembre. Mais le vendredi 23 septembre, le groupe a été poursuivi pour « négligence grave » par Ronald Schwartz, un résident de New York qui visait un statut de recours collectif pour représenter tous les utilisateurs américains de Yahoo! affectés par le vol de leurs informations personnelles. Il entendait réclamer des dommages et intérêts. Ses avocats ont déposé la plainte à San Jose (Californie), dans le même État que la maison mère de l’entreprise. À ses côtés, Schwartz avait deux spécialistes des recours collectifs : les cabinets Robbins Geller Rudman & Dowd et Labaton Sucharow
La plainte suggérait que Yahoo aurait pu éviter le piratage s’il avait renforcé ses mesures de sécurité étant donné qu’il avait déjà été la cible de pirates par le passé et n’a donc pas tenu à sa promesse de prendre « très au sérieux » la vie privée de ses utilisateurs : Yahoo a démontré de la « négligence à l'égard de la sécurité des informations personnelles de ses utilisateurs qu'il a promis de protéger ».
Schwartz reprochait également à Yahoo d’avoir attendu près de deux mois pour faire un communiqué concernant la faille, ce qui est illégal dans 47 États aux Etats-Unis, qui requièrent que les entreprises qui ont été victimes d’un piratage le fassent savoir à leurs clients même si le délai varie d’un État à l’autre : certains demandent d’en informer les clients sur une période allant de 30 à 45 jours tandis que d’autres utilisent des termes plus généraux « aussitôt que ce sera utile » ou « sans délai déraisonnable ». Dans ces États, la période de notification peut être plus courte comme le montre un cas récent en Californie où l’avocat Aaron Tantleff, travaillant pour le compte de Foley and Lardner, a estimé que même deux semaines représentent un délai trop long.
Le recours collectif
Lundi 22 octobre 2018, Yahoo! a accepté de payer 50 millions de dollars (43,8 millions d’euros) pour dédommager les victimes américaines et israéliennes des piratages qui ont touché ses services.
Il aura fallu deux ans de procédure pour parvenir à un accord préliminaire avec la justice californienne concernant 1 milliard de comptes, détenus par 200 millions d’internautes américains et israéliens entre 2012 et 2016.
Ceux-ci pourront alors réclamer une partie des 50 millions de dollars, à condition de montrer que le piratage leur a porté préjudice, souligne l’agence Associated Press – s’ils ont par exemple été victimes d’usurpation d’identité. En outre, Yahoo s’est engagé à rembourser à hauteur de 35 millions de dollars les frais d’avocats engagés lors des poursuites judiciaires à son encontre.
Yahoo a également décidé de fournir aux utilisateurs concernés aux États-Unis des services de surveillance du crédit pendant deux ans via AllClear, un package qui coûterait environ 350 $. Il existe également des options de compensation permettant aux petites entreprises et aux particuliers de récupérer les coûts des pertes associées aux piratages. Enfin, ceux qui ont payé pour des services de messagerie premium Yahoo sont éligibles pour un remboursement de 25%.
L’accord était soumis à l’approbation finale de la juge américaine Lucy Koh du district nord de la Californie, qui devait rendre sa décision finale après une audience qui a été programmée pour le 29 novembre 2018.
Les termes révisés de l’accord
Yahoo a conclu un règlement révisé de 117,5 millions de dollars avec des millions de personnes dont les adresses électroniques et autres informations personnelles ont été volées au cours de la plus grande violation de données de son histoire.
Le règlement proposé concernant le recours collectif rendu public mardi visait à répondre aux critiques adressées à la juge américaine Lucy Koh, de district, à San Jose, en Californie. Elle a rejeté une version antérieure de l'accord le 28 janvier et son approbation est toujours requise.
Koh a déclaré que le règlement initial n'était pas « fondamentalement juste, adéquat et raisonnable » car il n'avait aucune valeur monétaire globale et ne précisait pas combien de temps les victimes pourraient espérer récupérer. Elle a également déclaré que les frais juridiques semblaient trop élevés.
Le nouveau règlement comprend au moins 55 millions de dollars pour les dépenses des victimes et autres coûts, 24 millions de dollars pour la surveillance du crédit sur deux ans, jusqu'à 30 millions de dollars pour les frais juridiques et jusqu'à 8,5 millions de dollars pour les autres dépenses.
Il couvre pas moins de 194 millions de personnes aux États-Unis et en Israël avec environ 896 millions de comptes.
John Yanchunis, avocat des plaignants, a déclaré devant un tribunal que ce montant de 117,5 millions de dollars était « le plus grand fonds commun jamais obtenu dans une affaire de violation de données ».
Par ailleurs, Verizon a accepté de dépenser 306 millions de dollars entre 2019 et 2022 pour la sécurité de l’information, soit cinq fois plus que Yahoo entre 2013 et 2016. Il s’est également engagé à quadrupler les effectifs de Yahoo dans ce domaine.
« Le règlement témoigne de notre ferme attachement à la sécurité », a déclaré Verizon dans un communiqué.
En juillet 2016, Yahoo a accepté de vendre ses activités Internet à Verizon pour 4,83 milliards de dollars. Ce n’est que plus tard qu’elle a révélé l’ampleur des violations, ce qui a entraîné une réduction de prix à 4,48 milliards de dollars. Verizon a annulé une grande partie de la valeur de Yahoo en décembre.
Les procureurs américains ont inculpé deux agents des services de renseignement russes et deux pirates informatiques en lien avec l'une des infractions commises en 2017. Un pirate informatique a par la suite plaidé coupable.
Source : Reuters
Partager