Si le système vous demande de modifier votre mot de passe ou si vous avez reçu une alerte de sécurité de Yahoo, veuillez visiter note page d’aide pour obtenir plus d’informations à propos de la protection de votre compte.

Avis de sécurité Yahoo (14 décembre 2016)

Yahoo a identifié des problèmes de sécurité des données concernant certains comptes utilisateur Yahoo. Yahoo a pris toutes les mesures nécessaires pour sécuriser les comptes utilisateur et travaille en étroite collaboration avec les autorités policières.

Vous trouverez ci-dessous les FAQ contenant des informations détaillées sur ces problèmes, ainsi que les opérations que les utilisateurs peuvent effectuer pour protéger leurs comptes.

Pour obtenir des informations sur le problème de sécurité des données que l’entreprise a divulgué le 22 septembre 2016, cliquez ici.

Que s’est-il passé ?

En novembre 2016, les autorités policières ont fourni à Yahoo des fichiers de données qu’un tiers déclarait être des données d’utilisateurs Yahoo. Nous avons analysé ces données avec l’aide de spécialistes externes et avons découvert qu’il s’agissait de données d’utilisateurs Yahoo. D’après les résultats de l’analyse plus approfondie qu’ont réalisée les spécialistes sur ces données, nous pensons qu’un tiers non autorisé a dérobé en août 2013 des données associées à plus d’un milliard de comptes utilisateur. Yahoo n’a pas été en mesure d’identifier l’intrusion associée à ce vol. Nous avons des raisons de penser que cet incident est probablement distinct de celui que nous avons révélé le 22 septembre 2016. Nous informons les utilisateurs potentiellement affectés et avons pris les mesures nécessaires pour sécuriser leurs comptes, en demandant notamment aux utilisateurs de changer leurs mots de passe. Yahoo a également invalidé les questions et réponses non chiffrées concernant la sécurité afin qu’elles ne puissent pas être utilisées pour accéder à un compte.

Par ailleurs, nos spécialistes externes effectuent des recherches sur la création de cookies falsifiés permettant à des intrus d’accéder sans mot de passe aux comptes des utilisateurs. D’après les résultats des recherches en cours, les spécialistes externes ont identifié des comptes utilisateur pour lesquels ils pensent que des cookies falsifiés ont été utilisés ou extraits en 2015 ou en 2016. L’entreprise informe les détenteurs des comptes affectés et a invalidé les cookies falsifiés. Nous avons établi un lien entre cette activité et le groupe parrainé par une puissance étrangère qui serait responsable de l’usurpation de données que nous avons révélée le 22 septembre 2016.

Mon compte a-t-il été concerné par l’incident d’août 2013 ?

Nous informons les utilisateurs potentiellement concernés et publions des informations complémentaires sur notre site Web. Par ailleurs, nous prenons les mesures nécessaires pour sécuriser les comptes des utilisateurs en demandant notamment aux utilisateurs de changer leurs mots de passe. Yahoo a également invalidé les questions et réponses non chiffrées concernant la sécurité afin qu’elles ne puissent pas être utilisées pour accéder à un compte.

Mon compte a-t-il été concerné par la falsification des cookies ?

D’après les résultats des recherches en cours, les spécialistes externes ont identifié des comptes utilisateur pour lesquels ils pensent que des cookies falsifiés ont été utilisés ou extraits en 2015 ou en 2016. L’entreprise informe les détenteurs des comptes affectés et a invalidé les cookies falsifiés.

Des informations ont-elles été extraites lors de l’incident d’août 2013 ?

En ce qui concerne les comptes utilisateur potentiellement affectés, les informations dérobées portent sur les noms, les adresses mail, les numéros de téléphone, les dates de naissance, les mots de passe cryptés (au format MD5) et, dans certains cas, les questions/réponses chiffrées ou non chiffrées concernant la sécurité. Les recherches indiquent que les informations dérobées n’incluent ni les mots de passe en texte clair, ni les données de carte de paiement, ni les informations concernant les comptes bancaires. Les données de carte de paiement et les informations relatives aux comptes bancaires ne sont pas stockées dans le système que nous pensons être concerné.

Qu’est-ce qu’un mot de passe crypté ?

Le cryptage est une fonction mathématique unilatérale qui convertit une chaîne de données originale en une chaîne de caractères aléatoire. Les mots de passe cryptés ne peuvent pas être rétablis en mots de passe en texte brut. Lors de l’incident d’août 2013, nous utilisions le système MD5 pour crypter les mots de passe. Nous avons commencé à mettre à niveau notre protection par mot de passe et avons adopté bcrypt en été 2013. Bcrypt est un mécanisme de cryptage de mots de passe qui intègre des fonctionnalités de sécurité, y compris le salage et les nombreux cycles de calcul, afin de renforcer la protection contre la résolution des mots de passe.

Quelles informations étaient concernées par la falsification des cookies ?

Les cookies falsifiés permettaient à un intrus d’accéder sans mot de passe aux comptes utilisateur. D’après les résultats d’une recherche Yahoo en cours, nous pensons qu’un tiers non autorisé a accédé à notre code propriétaire pour savoir comment falsifier les cookies. Les spécialistes externes ont identifié des comptes utilisateur pour lesquels ils pensent que des cookies falsifiés ont été utilisés ou extraits. L’entreprise informe les détenteurs des comptes affectés et a invalidé les cookies falsifiés.

Qu’est-ce qu’un « cookie » ?

Un cookie est une petite information stockée sur un ordinateur et qui permet d’identifier un navigateur Web lors d’interactions sur des sites. Les sites Web utilisent des cookies pour mémoriser et reconnaître les détails concernant les visiteurs, notamment les préférences de site. Cliquez ici pour plus d’informations sur les pratiques de Yahoo concernant les cookies et les technologies de même type.

Ces incidents sont-ils liés au vol de données que Yahoo a annoncé le 22 septembre 2016 ?

Nous avons des raisons de penser que l’incident d’août 2013 est probablement distinct de celui que nous avons révélé le 22 septembre 2016.

Nous avons établi un lien entre cette falsification de cookie et le groupe parrainé par une puissance étrangère qui serait responsable de l’usurpation de données que nous avons révélée le 22 septembre 2016. Ces utilisateurs ciblés par le groupe parrainé par une puissance étrangère ont reçu une notification supplémentaire semblable à celle disponible sur ici.

Je crois que j’ai reçu un ou plusieurs mails concernant ces problèmes. Comment savoir s’ils proviennent bien de Yahoo ?

Cliquez ici pour voir le contenu de l’avis que nous avons envoyé aux utilisateurs affectés. Veuillez noter que les mails envoyés par Yahoo concernant ce problème affichent l’icône Yahoo Violet icône Y lorsqu’ils sont affichés sur le site Web de Yahoo ou dans l’application Yahoo Mail. Important : les mails ne vous demandent pas de cliquer sur un lien, ne contiennent aucune pièce jointe et ne vous demandent aucune information personnelle. Si le mail que vous recevez au sujet de ces problèmes vous invite à cliquer sur un lien ou à télécharger une pièce jointe, ou vous demande de fournir des informations, cela signifie qu’il n’a pas été envoyé par Yahoo et peut être une tentative de vol de vos informations personnelles. Évitez de cliquer sur des liens ou de télécharger des pièces jointes provenant de ces mails suspects.

Que fait Yahoo pour protéger mon compte ?

Nous avons pris les mesures nécessaires pour protéger nos utilisateurs :

  • Nous demandons aux utilisateurs potentiellement affectés de changer leurs mots de passe.
  • Nous avons invalidé les questions et réponses non chiffrées concernant la sécurité afin qu’elles ne puissent pas être utilisées pour accéder à un compte.
  • Nous avons invalidé les cookies falsifiés et renforcé nos systèmes afin de les protéger contre des attaques du même type.
  • Nous procédons en permanence à l’amélioration de nos protections et systèmes afin qu’ils détectent et empêchent tout accès non autorisé aux comptes d’utilisateur.

Comment puis-je changer mon mot de passe ou désactiver les questions/réponses de sécurité ?

Vous pouvez changer votre mot de passe Yahoo ou les questions/réponses de sécurité en cliquant ici. Nous demandons aux utilisateurs potentiellement concernés de changer leurs mots de passe et nous avons invalidé les questions/réponses de sécurité non chiffrées afin qu’elles ne puissent pas être utilisées pour accéder à un compte.

Puis-je faire quelque chose pour me protéger ?

Nous invitons tous les utilisateurs à suivre les recommandations de sécurité suivantes :

  • Changez le mot de passe et les questions/réponses de sécurité de tout autre compte pour lequel vous avez utilisé des informations semblables ou identiques à celles de votre Compte Yahoo.
  • Vérifiez que vos comptes ne font pas l’objet d’activités suspectes.
  • Méfiez-vous des communications non sollicitées qui vous demandent de fournir des informations personnelles ou vous orientent vers une page Web vous demandant des informations personnelles.
  • Évitez de cliquer sur des liens ou de télécharger des pièces jointes provenant de mails suspects.

Par ailleurs, pensez à utiliser la Clé de compte Yahoo. Cet outil d’authentification simple évite d’avoir à utiliser un mot de passe pour vos connexions avec Yahoo

Que dois-je faire de plus pour protéger mes informations ?

Même si les informations du compte affecté ne concernent pas les mots de passe en texte clair, les données de carte de crédit ou les informations de compte bancaire, nous vous recommandons de rester vigilant, et de passer en revue vos relevés de compte et de surveiller vos dossiers de crédit.

Vous pouvez contacter le bureau du Commissaire à la protection des données (Data Protection Commissioner) pour en savoir plus sur la protection de vos informations personnelles. Voici les coordonnées du Commissaire à la protection des données :

Data Protection Commissioner
Canal House
Station Road
Portarlington
R32 AP23 Co. Laois
Irlande

https://www.dataprotection.ie/docs/Contact-us/b/11.htm

Les comptes Tumblr sont-ils concernés ?

Non. Les systèmes sur lesquels des données ont été dérobées en août 2013 ne contenaient aucune donnée utilisateur Tumblr lors de l’usurpation. Par ailleurs, Yahoo n’a aucune information indiquant que les cookies falsifiés ont été utilisés pour accéder aux comptes Tumblr.

Comment puis-je obtenir de l’aide concernant mon compte ?

Si vous avez besoin d’autres informations ou d’aide concernant votre compte, consultez https://help.yahoo.com. Vous y trouverez les dernières informations et pourrez accéder au support technique direct. NE FAITES APPEL À AUCUN service de support, à l’exception de ceux fournis par Yahoo, en particulier les fournisseurs de service de support qui facturent leur service. Yahoo ne facture pas le service de support pour ses comptes. Veuillez noter que les canaux Yahoo offrent tous un support via https://fr.aide.yahoo.com.