VIDÉO – Quelques astuces existent pour éviter aux détenteurs des 500 millions de comptes piratés sur Yahoo! de voir leurs données de connexion exploitées.
Yahoo! a été victime d’un piratage massif, confirmé hier soir. Les données liées à 500 millions de ses comptes ont été récupérées par des pirates à la fin de l’année 2014. Parmi elles, des noms, adresses, emails et dates de naissance, mais aussi des mots de passe chiffrés. Selon le communiqué de presse de Yahoo!, les informations bancaires seraient restées hors de portée des hackers.
Ce piratage, par son ampleur, pourrait avoir des répercussions très importantes. Pour sécuriser leur compte et limiter l’accès à leurs données, un certain nombre de mesures s’imposent.
• Ouvrir sa messagerie Yahoo!, voir si son compte est concerné
Yahoo! a prévu d’envoyer un message à tous les utilisateurs touchés par ce piratage. Le premier réflexe est de voir si son compte est concerné, en ouvrant sa boîte de messagerie. Le cas échéant, Yahoo! invite à changer son mot de passe, pour empêcher les intrusions avec les données récupérées. Il désactive aussi la question de sécurité, qui pourrait permettre aux pirates de générer un nouveau mot de passe et d’entrer dans les comptes.
• Choisir un nouveau mot de passe solide
Par mesure de sécurité, Yahoo! recommande à tous ses utilisateurs de changer de mot de passe s’ils ne l’ont pas fait depuis 2014, même s’ils ne sont pas directement concernés par ce piratage.
La Cnil préconise de choisir un mot de passe suffisamment long, constitué d’au moins huit caractères, dont au moins 3 types de caractères différents parmi les quatre types de caractères existants (majuscules, minuscules, chiffres et caractères spéciaux). Le mot de passe en question doit être dépourvu de lien avec son détenteur. Pas de date de naissance, donc, ni de modification de son propre nom. Remplacer une lettre par un chiffre (en choisissant «pa55word» au lieu de «password», par exemple) n’est pas une bonne idée, car les logiciels de crackage reconnaissent ces subtilités.
Voici quelques recommandations de la Cnil pour constituer un mot de passe solide:
• Modifier aussi le mot de passe de ses autres comptes
Utiliser le même mot de passe pour plusieurs comptes s’avère risqué. Il est facile en effet pour un pirate de réutiliser sur Facebook ou Gmail la combinaison d’identifiants et de mots de passe récupérés sur Yahoo!, pour tenter de collecter de nouvelles données sur leurs utilisateurs.
«Pour réduire l’impact de la prochaine violation de ce type qui est inévitable, les utilisateurs doivent se protéger en ayant des mots de passe individuels pour chaque service ou abonnement, là où très souvent ils n’en utilisent qu’un ou deux», confirme Erwan Jouan, Territory Manager SEMA chez Tenable Network Security. «Les navigateurs modernes ont pourtant la capacité de générer et de stocker des mots de passe complexes, tout comme d’ailleurs les nombreux gestionnaires de mots de passe.» Parmi les logiciels libres régulièrement mis à jour, la Cnil recommande à ce titre Keepass, Zenyway ou encore Passwordsafe.
L’Anssi rappelle que «l’utilisation d’un même mot de passe entre sa messagerie professionnelle et sa messagerie personnelle est impérativement à proscrire». Elle défend l’usage de méthodes mémotechniques. L’une consiste à retranscrire une phrase de manière phonétique: ainsi, «J’ai acheté 5 CD’s pour cent euros cet après-midi» devient ght5CDs%€7am. L’autre méthode consiste à utiliser les premières lettres d’une phrase: «Un tien vaut mieux que deux tu l’auras» donne 1tvmQ2tl’A.
• Activer autant que possible la vérification en deux étapes
Yahoo!, comme beaucoup d’autres services en ligne, proposent en option la vérification en deux étapes (ou double authentification). Pour entrer dans son compte, il faut systématiquement entrer son mot de passe puis une combinaisons supplémentaire, obtenue par SMS ou dans une application spéciale. Nous avons écrit cette année un guide pratique sur le sujet, que nous vous conseillons de lire:
» La double authentification, un geste simple pour se protéger du piratage
Chez Yahoo!, cette option se trouve sur cette page.
• Modifier sa question de sécurité sur les autres sites
Les pirates pourraient tenter d’entrer sur d’autres comptes en apportant les mêmes réponses aux questions de sécurité que sur Yahoo!. Le responsable de la sécurité du site recommande de changer ces combinaisons, sur les sites les plus critiques du moins.
• Être plus vigilants sur les emails que vous allez recevoir
Le phishing, ou hameçonnage, est une forme d’attaque informatique destinée à soutirer des renseignements personnels dans le but de perpétrer une usurpation d’identité. Les adeptes de cette pratique envoient généralement des courriels à un grand nombre de victimes potentielles, pour optimiser leurs chances. En l’occurrence, les hackers responsables du piratage de Yahoo! disposent désormais d’une base de données de 500 millions de comptes.
En insérant des informations personnelles (noms, date d’anniversaire), des pirates peuvent rendre leurs messages plus crédibles, et avoir un plus fort taux de réussite pour leurs larcins. Ils peuvent aussi entrer dans les boîtes de messagerie des comptes piratés et envoyer des emails en usurpant l’identité d’une victime. Ils en profitent généralement pour adresser des messages d’appel à l’aide, où ils invitent à envoyer une somme d’argent à un proche pour le sortir d’une situation compliquée. Il est donc conseillé de redoubler de vigilance si vous recevez un message suspect d’un contact sur Yahoo!.
«Si votre boîte de messages personnelle est compromise, et qu’un attaquant usurpe votre identité, vous exposez instantanément vos contacts à une menace et permettez à l’intrus de réinitialiser tous les mots de passe de vos autres comptes. Vos informations d’identification de messagerie sont vos données les plus sensibles, les cybercriminels font donc tout pour les obtenir», explique Gary Rider, Vice President Sales chez Proofpoint.
• Consulter l’activité récente de ses comptes
Les services de messagerie, comme les sites de banques, affichent la liste des connexions récentes et les modifications apportées au compte. Cela permet de voir si d’autres personnes que vous ont accédé en parallèle à votre compte. Sur Yahoo!, cette liste ce trouve sur cette page. On conseillera d’y jeter un œil de temps à autre.
La rédaction vous conseille