Juste pour dire à ceux qui, comme moi, avaient un vieux compte Yahoo :
[quote]What information was taken in the August 2013 incident?
For potentially affected accounts, the stolen user account information may have included names, email addresses, telephone numbers, dates of birth, hashed passwords (using MD5) and, in some cases, encrypted or unencrypted security questions and answers. The investigation indicates that the stolen information did not include passwords in clear text, payment card data, or bank account information. Payment card data and bank account information are not stored in the system the company believes was affected.[/quote]
Je répète pour ceux du fond qui n’ont pas bien écouté.
Hashed passwords. Using. M. D. 5.
En 2013 ! Et ils ne disent pas “salted hashed passwords” hein. Je suis sûr que c’était les MD5 des mots de passe bruts, attaquables à la rainbow-table. Autrement dit, c’est exactement comme si tous les mots de passe Yahoo étaient dans la nature entre 2013 et 2016. Un putain de milliard de mot de passes dans la nature…
Rhôô c’est magique Yahoo. Je viens de backuper tous mes emails via Thunderbird en IMAP. Tous ? Non, un village de terribles gaulois résiste encore, à savoir tous mes emails entre la création de mon compte en 2003, et le 12 décembre 2011. Ceux-là, ils sont disparus, ils ne sont pas synchronisés.
Paradoxalement quand je fais une recherche avancée et que je force une plage genre entre le 01/01/2008 et le 01/02/2008 là ils apparaissent bien. Mais impossible de les backuper.
C’est choquant mais pas déconnant quand tu sais que l’infrastructure a plus de 15 ans en fait. Pour migrer de MD5 a une solution plus moderne, il faut gérer en parallèle deux structures de gestion de mot de passe pendant un certain temps et enregistrer le mot de passe de l’utilisateur en « nouveau système » quand celui ci se loggue, pour générer la nouvelle BDD. Avec les gens qui se connectent jamais, il faut envoyer un mail et laisser un message style « si vous n’arrivez pas a vous logguer avec votre mot de passe, veuiller lancer la procédure de récupération de mot de passe, on a changer le système » avec tous les problèmes liés au fait que t’auras facile la moitié des gens qui ne connaissent pas ou plus leur mail de secours…
C’est faisable techniquement, mais il faut le faire pour UN MILLIARD DE COMPTES. T’imagines la complexité et les moyens nécessaire? Moi non, mais je pense malgré tout que ça doit être MASSIF. Et c’est pas la priorité de Yahoo ou de plein d’autres boites du web.
La sécurité trépasse la ou les dividendes passent…
L’autre gros soucis de ce hack, c’est que les infos des comptes ont aussi leakées (date de naissance, numéro de téléphone,etc). Dans certains cas c’est suffisant pour usurper une identité. (C’est pour ça que j’ai pris le réflexe de toujours mettre des dates de naissances fausses quand je m’inscris sur les sites)
Et pourtant pour des raisons toutes autres on est en train de faire quelque chose de similaire dans la boîte où je bosse. Avec plusieurs millions de comptes. C’est une question de priorité, et Yahoo a choisi : les données de leurs client n’avaient aucune importance à leurs yeux. Et comme d’habitude c’est un mauvais calcul parce-que les dégâts à leur image juste avant d’être vendu va coûter plus cher que ce que ça leur aurait coûté comme projet à l’époque…
Sans compter qu’en 2013 ça faisait déjà presque 10 ans que plus personne de sérieux ne hashait en MD5… Ils ont eu tout le temps de faire leur migration.
lié aussi au fait qu’ils ont pas d’assistance clientèle. Je bosse la dedans, je connais mes infos de comptes et pour recup mon mot de passe Flickr il m’a fallut 1 semaine et un coup de bol de tomber sur une page zombie avec un lien qui m’a permis de reset le mot de passe sur le mail de secours justement car je ne recevais pas le « sms »
A savoir que le boss de Yahoo à l’époque du premier leak (y a 2 ans je crois ?) avait clairement communiquer en interne (je cite de mémoire) : « je suis au courant du leak, mais vu le niveau de nos utilisateurs, je préfère ne pas les alertés et qu’ils reste sur notre plate-forme plutôt que de leurs signaler le problème, de forcer une changement de mot de passe, que ça leurs fassent peur ou qu’ils ne comprennent pas et qu’ils aillent chez la concurrence. »
