En novembre 2016, les autorités policières ont fourni à Yahoo des fichiers de données qu’un tiers déclarait être des données d’utilisateurs Yahoo. Nous avons analysé ces données avec l’aide de spécialistes externes et avons découvert qu’il s’agissait de données d’utilisateurs Yahoo. D’après les résultats de l’analyse plus approfondie qu’ont réalisée les spécialistes sur ces données, nous pensons qu’un tiers non autorisé a dérobé en août 2013 des données associées à plus d’un milliard de comptes utilisateur. Yahoo n’a pas été en mesure d’identifier l’intrusion associée à ce vol. Nous avons des raisons de penser que cet incident est probablement distinct de celui que nous avons révélé le 22 septembre 2016. Nous informons les utilisateurs potentiellement affectés et avons pris les mesures nécessaires pour sécuriser leurs comptes, en demandant notamment aux utilisateurs de changer leurs mots de passe. Yahoo a également invalidé les questions et réponses non chiffrées concernant la sécurité afin qu’elles ne puissent pas être utilisées pour accéder à un compte.

Par ailleurs, nos spécialistes externes effectuent des recherches sur la création de cookies falsifiés permettant à des intrus d’accéder sans mot de passe aux comptes des utilisateurs. D’après les résultats des recherches en cours, les spécialistes externes ont identifié des comptes utilisateur pour lesquels ils pensent que des cookies falsifiés ont été utilisés ou extraits en 2015 ou en 2016. L’entreprise informe les détenteurs des comptes affectés et a invalidé les cookies falsifiés. Nous avons établi un lien entre cette activité et le groupe parrainé par une puissance étrangère qui serait responsable de l’usurpation de données que nous avons révélée le 22 septembre 2016.

Nous informons les utilisateurs potentiellement concernés et publions des informations complémentaires sur notre site Web. Par ailleurs, nous prenons les mesures nécessaires pour sécuriser les comptes des utilisateurs en demandant notamment aux utilisateurs de changer leurs mots de passe. Yahoo a également invalidé les questions et réponses non chiffrées concernant la sécurité afin qu’elles ne puissent pas être utilisées pour accéder à un compte.

D’après les résultats des recherches en cours, les spécialistes externes ont identifié des comptes utilisateur pour lesquels ils pensent que des cookies falsifiés ont été utilisés ou extraits en 2015 ou en 2016. L’entreprise informe les détenteurs des comptes affectés et a invalidé les cookies falsifiés.

En ce qui concerne les comptes utilisateur potentiellement affectés, les informations dérobées portent sur les noms, les adresses mail, les numéros de téléphone, les dates de naissance, les mots de passe cryptés (au format MD5) et, dans certains cas, les questions/réponses chiffrées ou non chiffrées concernant la sécurité. Les recherches indiquent que les informations dérobées n’incluent ni les mots de passe en texte clair, ni les données de carte de paiement, ni les informations concernant les comptes bancaires. Les données de carte de paiement et les informations relatives aux comptes bancaires ne sont pas stockées dans le système que nous pensons être concerné.

Le hachage est une fonction mathématique unilatérale qui convertit une chaîne de données originale en une chaîne de caractères aléatoire. Les mots de passe hachés ne peuvent pas être rétablis en mots de passe en texte brut. Lors de l’incident d’août 2013, nous utilisions le système MD5 pour hacher les mots de passe. Nous avons commencé à mettre à niveau notre protection par mot de passe et avons adopté bcrypt en été 2013. Bcrypt est un mécanisme de hachage de mots de passe qui intègre des fonctionnalités de sécurité, y compris le salage et les nombreux cycles de calcul, afin de renforcer la protection contre la résolution des mots de passe.

Les cookies falsifiés permettaient à un intrus d’accéder sans mot de passe aux comptes utilisateur. D’après les résultats d’une recherche Yahoo en cours, nous pensons qu’un tiers non autorisé a accédé à notre code propriétaire pour savoir comment falsifier les cookies. Les spécialistes externes ont identifié des comptes utilisateur pour lesquels ils pensent que des cookies falsifiés ont été utilisés ou extraits. L’entreprise informe les détenteurs des comptes affectés et a invalidé les cookies falsifiés.

Un cookie est une petite information stockée sur un ordinateur et qui permet d’identifier un navigateur Web lors d’interactions sur des sites. Les sites Web utilisent des cookies pour mémoriser et reconnaître les détails concernant les visiteurs, notamment les préférences de site. Cliquez ici pour plus d’informations sur les pratiques de Yahoo concernant les cookies et les technologies similaires.

Nous avons des raisons de penser que l’incident d’août 2013 est probablement distinct de celui que nous avons révélé le 22 septembre 2016.

Nous avons établi un lien entre cette falsification de cookie et le groupe parrainé par une puissance étrangère qui serait responsable de l’usurpation de données que nous avons révélée le 22 septembre 2016. Ces utilisateurs ciblés par le groupe parrainé par une puissance étrangère ont reçu une notification supplémentaire semblable à celle disponible ici.

Cliquez ici pour voir le contenu de l’avis que nous avons envoyé aux utilisateurs affectés. Veuillez noter que le mail de Yahoo concernant ce problème affiche l’icône Yahoo lorsqu’il est consulté via le site Web Yahoo ou l’application Yahoo Mail. Et surtout, le mail ne vous demande pas de cliquer sur un lien, ne contient aucune pièce jointe et ne vous réclame aucune information personnelle. Si le mail que vous recevez au sujet de ces problèmes vous invite à cliquer sur un lien ou à télécharger une pièce jointe, ou vous demande de fournir des informations, cela signifie qu’il n’a pas été envoyé par Yahoo et peut être une tentative de vol de vos informations personnelles. Évitez de cliquer sur des liens ou de télécharger des pièces jointes provenant de mails suspects.

Nous avons pris les mesures nécessaires pour protéger nos utilisateurs :

• Nous demandons aux utilisateurs potentiellement affectés de changer leurs mots de passe.
• Nous avons invalidé les questions et réponses non chiffrées concernant la sécurité afin qu’elles ne puissent pas être utilisées pour accéder à un compte.
• Nous avons invalidé les cookies falsifiés et renforcé nos systèmes afin de les protéger contre des attaques du même type.
• Nous procédons en permanence à l’amélioration de nos protections et systèmes afin qu’ils détectent et empêchent tout accès non autorisé aux comptes d’utilisateur.

Vous pouvez changer votre mot de passe Yahoo ou les questions/réponses de sécurité en cliquant ici. Nous demandons aux utilisateurs potentiellement concernés de changer leurs mots de passe et nous avons invalidé les questions/réponses de sécurité non chiffrées afin qu’elles ne puissent pas être utilisées pour accéder à un compte.

Nous invitons tous les utilisateurs à suivre les recommandations de sécurité suivantes :

• Changez le mot de passe et les questions/réponses de sécurité de tout autre compte pour lequel vous avez utilisé des informations semblables ou identiques à celles de votre Compte Yahoo.
• Recherchez toute trace d’activité suspecte sur vos comptes.
• Faites preuve de la plus grande prudence si vous recevez des mails non sollicités vous demandant de fournir des informations personnelles ou qui vous envoient sur une page Web où vous devez indiquer des informations personnelles.
• Évitez de cliquer sur des liens ou de télécharger des pièces jointes provenant de mails suspects.

Envisagez également de passer à la validation en deux étapes. Cet outil d’authentification simple est plus sécurisé et nécessite un code de validation en plus de votre mot de passe.

Même si les informations du compte utilisateur affecté ne concernent pas les mots de passe en texte clair, les données de carte de crédit ou les informations de compte bancaire, nous vous recommandons de rester vigilant, et de passer en revue vos relevés de compte et de surveiller vos rapports de crédit. Vous trouverez ci-dessous les coordonnées des trois agences nationales de renseignement sur la consommation auprès desquelles vous pouvez obtenir un rapport de crédit.

Pour vous protéger de tout risque d’usurpation d’identité, vous pouvez ajouter un avis de fraude à votre dossier de crédit. Vous pourrez également établir un « gel de sécurité » (appelé également « gel de crédit ») dans votre dossier de crédit. Le gel de sécurité empêche les créanciers éventuels d’accéder sans votre accord à votre dossier de crédit auprès des agences de renseignement sur la consommation. L’établissement, l’annulation et/ou la suppression d’un gel de sécurité peuvent occasionner des frais généralement compris entre 5 et 20 $ par action. Contrairement à l’avis de fraude, vous devez établir un gel de sécurité dans votre dossier de crédit de chaque agence de renseignement de la consommation. Pour plus d’informations sur les gels de sécurité, vous pouvez contacter les trois agences américaines de renseignement sur la consommation ou la FTC comme indiqué ci-dessus. Les instructions d’établissement d’un gel de sécurité étant différentes d’un État à l’autre, veuillez contacter ces trois agences pour plus d’informations.

Les agences de renseignement sur la consommation peuvent exiger des documents d’identification avant d’honorer votre demande. Vous pouvez être invité à fournir les informations suivantes :

• Votre nom complet avec l’initiale du deuxième prénom et la génération (Jr., Sr., II, III)
• Votre numéro de sécurité sociale
• Votre date de naissance
• Adresses où vous avez vécu au cours des cinq dernières années
• Copie lisible d’une pièce d’identité officielle (permis de conduire d’État ou carte d’identité militaire)
• Preuve de votre adresse de résidence actuelle (facture récente d’électricité, de gaz, etc. ou relevé de compte)

Vous avez le droit d’obtenir un rapport de police et de demander un gel de sécurité en suivant les instructions ci-dessus. Les agences de renseignement sur la consommation peuvent vous facturer des frais pouvant aller jusqu’à 10 $ pour placer un gel de sécurité sur votre compte et vous demander de fournir des informations personnelles (votre nom, votre numéro de sécurité sociale, votre date de naissance et votre adresse), ainsi que des documents d’identification (copie de pièce d’identité officielle, et facture ou relevé) avant d’honorer votre demande de gel de sécurité. L’établissement, l’annulation ou la suppression d’un gel de sécurité sont gratuits si vous avez été victime d’une usurpation d’identité et que vous fournissez aux agences de renseignement sur la consommation un rapport de police valide.

Non. Les systèmes sur lesquels des données ont été dérobées en août 2013 ne contenaient aucune donnée utilisateur Tumblr lors de l’usurpation. Par ailleurs, Yahoo n’a aucune information indiquant que les cookies falsifiés ont été utilisés pour accéder aux comptes Tumblr.

Si vous avez besoin de plus d’informations ou d’assistance avec votre compte, consultez le site fr.aide.yahoo.com. Vous y trouverez les dernières informations et pourrez accéder au support technique direct. NE FAITES APPEL À AUCUN service de support, à l’exception de ceux fournis par Yahoo, en particulier les fournisseurs de service de support qui facturent leur service. Yahoo ne facture pas le service de support pour ses comptes. Veuillez noter que les canaux Yahoo offrent tous un support via fr.aide.yahoo.com.