Outils

La sécurité de YahooVoice compromise ?

Après LinkedIn, LastFm ou encore le Figaro, c’est au tour de Yahoo de subir une attaque. Le service de messagerie Yahoo, outre ses emails, propose un système de téléphonie, permettant d’appeler dans le monde entier à des tarifs dérisoires. Il semblerait que ce soit par ce biais qu’un leak de compte ait été fait.

Selon différentes sources, la sécurité de YahooVoice aurait été compromise et plus de 450 000 mots de passe auraient été leakés, par un groupe ou du moins une entité se faisant appeler D33d Company. Ce n’est pas la première fois que cette entité fait parler d’elle puisqu’elle se proposait en novembre 2011 de vendre des données personnelles. Plus script-kiddies qu’autre chose – ils avaient déjà attaqué HackMyRank – il semblerait qu’il ait récidivé avec YahooVoice.

L’information en elle-même est peu claire : si certains parlent uniquement de mots de passe leakés, d’autres sont plus larges et parlent d’adresses emails et de mots de passe en clair, qui auraient été publiés par le groupe. Sur le plan de la méthode, il semblerait qu’ils aient exploité une vulnérabilité à l’aide d’une injection SQL, sans pour autant préciser quel service précisément était vulnérable. 

Selon le compte Twitter DataLossDB, il n’y aurait pas que des adresses Yahoo, mais également des adresses Hotmail et Gmail, ce qui peut être cohérent, si des adresses de secours ont été ajoutées dans des comptes. Cela est d’autant plus vraisemblable que les personnes ont tendance à utiliser les mêmes mots de passe pour différents services en ligne.

D33ds Company souligne qu’elle a publié ce leak dans le seul but d’alerter Yahoo sur les vulnérabilités de son service, ce dont on peut raisonnablement douter, si on s’intéresse quelques instants au passif de ce groupe. En effet, le groupe énonce « nous espérons que les responsables de la sécurité des sous-domaines prendra ceci comme un réveil et non comme une menace. Il existe beaucoup de failles de sécurité dans les serveurs appartenant à Yahoo, qui pourraient causer de plus grands dégâts que notre publication. Ne prenez pas cela à la légère. Ce service et ses paramètres sont vulnérables. ».

De son côté, Yahoo ne semble pas avoir communiqué sur la publication de cette faille et sur les informations personnelles qui ont été communiquées. Pour les utilisateurs de Yahoo, la seule chose à faire est de changer le plus d’informations relatives à leurs comptes, dans la mesure du possible. Dans la mesure où le service concerné par cette attaque est un service payant, il est également possible de supposer que certaines informations bancaires ont pu être compromises.

Les utilisateurs seront prochainement informés si leurs comptes ont été compromis dans la mesure où Yahoo !Inc est une société américaine, se trouvant dans l’obligation légale de communiquer sur cette faille de sécurité et sur la publication des informations qui ont fuitées. En effet, depuis 2002, les services de communication en ligne américains sont légalement tenus d’informer leurs clients lorsqu’ils font face à ce type d’attaque, ce qui avait été le cas de Sony lors des différentes attaques touchant Play Station Network.