Yahoo a déclaré jeudi 22 septembre 2016 que des pirates ont volé, en 2014, les informations de compte d’au moins 500 millions d’utilisateurs. Même si vous n’utilisez plus votre compte Yahoo depuis des années, il est recommandé de prêter attention à ces comptes, car ils pourraient y avoir un impact important au-delà des services Yahoo.
Comment savoir si mon compte Yahoo a été piraté ?
Il n’y a pas réellement de moyen de le savoir, mais comme le conseille le New York Times, dites-vous d’avance que vous l’aviez été. Si vous êtes victime de cette fuite de données, Yahoo vous enverra un mail intitulé « Notice of data breach ». Cependant, il faut faire attention aux faux emails d’alerte de sécurité et ne pas cliquer sur les liens hypertextes.
Quelles données ont pu être volées ?
Selon Yahoo, les données ont été dérobées pour des finalités mercantiles. Le vol concerne les : dates de naissance, noms, adresses électroniques, numéros de téléphone ou encore mots de passe. Pour Jean-Noël de Galzain, président d’Hexatrust, un groupement d’experts en cyber sécurité, il existe un véritable marché parallèle des données personnelles : « Il y a des hackers organisés qui utilisent les failles de tous les opérateurs Internet pour récupérer des données». Ces données personnelles ont une valeur et s’échangent sur le « Darknet ». Selon Motherboard, les données personnelles des utilisateurs de comptes Yahoo! ont été vendues trois bitcoins, soit environ 1 600 euros.
Les entreprises sont-elles touchées par ce vol ?
Les salariés utilisent les services cloud grand public, comme ceux de Yahoo, et le piratage de ceux-ci entraîne donc des risques pour les entreprises. A titre d’exemple, Flickr le service d’hébergement de Yahoo ! est utilisé par les professionnels pour le partage de photographie sur le web. Le risque majeur de cette fuite de données réside dans les pratiques des utilisateurs notamment dans la gestion de leur mot de passe. En effet, de nombreux utilisateurs utilisent les mêmes mots de passe sur plusieurs comptes dont les comptes professionnels.
Que faire dans ce cas ?
La première étape sera comme toujours, de changer son mot de passe pour les sites contenant des informations sensibles. Il ne faudra surtout pas utiliser le même mot de passe sur différents sites. Changer le mot de passe de Yahoo n’est qu’une première étape. Il faudra s’assurer de changer également ceux qui sont hébergés par Yahoo pour ce qui concerne la création des comptes tels que Facebook et autres.
Les informations seront-elles protégées après le changement de mot de passe ?
En réalité non, car l’attaque date de 2014 et l’information a été divulguée le 22 septembre 2016. Mais le changement de mot de passe et le contrôle régulier de vos dossiers financiers peuvent aider à minimiser les dégâts.
L’obligation de plus grande vigilance issue du règlement européen
Ce n’est que deux ans après la cyberattaque que, la société Yahoo dépassée, déclare publiquement que 500 millions de comptes ont fait l’objet d’une divulgation. Mais à partir du 25 mai 2018, des affaires du type Yahoo se retrouveront dans la presse. Toutes les entreprises auront l’obligation d’annoncer publiquement à leurs utilisateurs le type de risque qu’encourent les comptes utilisateurs dans l’hypothèse d’une fuite de données personnelles dû à une cyberattaque.
C’est en son article 33 que le règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données prévoit que, les entreprises et organismes ont l’obligation de notifier à l’autorité nationale de protection (les CNILs européennes) les cas de fuite et de violations graves de données afin que les utilisateurs puissent prendre des mesures appropriées. Si elles ne respectent pas cette obligation, les entreprises (et les administrations publiques) s’exposent à une sanction de près de quatre pourcents de leur chiffre d’affaires.