Une enquête récente menée par Yahoo a confirmé qu’une copie de certaines informations de comptes utilisateur a été volée dans nos systèmes à la fin de l’année 2014 par ce que nous pensons être un groupe parrainé par une puissance étrangère. Nous travaillons en étroite collaboration avec les autorités chargées de l’application de la loi et informons les utilisateurs potentiellement concernés sur les moyens de renforcer la sécurité de leurs comptes.

Nous informons par mail les utilisateurs potentiellement concernés et publions des informations complémentaires sur notre site Web. Nous demandons également à tous les utilisateurs éventuellement concernés de changer au plus vite leur mot de passe et d’utiliser d’autres méthodes de vérification de leur compte.

L’enquête en cours n’a trouvé aucune preuve démontrant que le groupe parrainé par une puissance étrangère fait actuellement partie du réseau de Yahoo.

Les informations dérobées sont susceptibles de contenir des noms, des adresses mail, des numéros de téléphone, des dates de naissance, des mots de passe hachés (la grande majorité à l’aide de bcrypt) et, dans certains cas, des questions et réponses de sécurité chiffrées ou non chiffrées. L’enquête en cours nous porte à croire que les informations volées ne comprenaient pas de mots de passe non protégés, de données de carte de paiement ou d’informations de compte bancaire. En effet, les données de carte de paiement et les informations de compte bancaire ne sont pas stockées dans le système qui, selon l’enquête, a fait l’objet du piratage.

Le hachage est une fonction mathématique unilatérale qui convertit une chaîne de données originale en une chaîne de caractères aléatoire. Les mots de passe hachés ne peuvent pas être rétablis en mots de passe en texte brut.

Bcrypt est un mécanisme de hachage de mots de passe qui intègre des fonctionnalités de sécurité, y compris le salage et les nombreux cycles de calcul, afin de renforcer la protection contre la résolution des mots de passe.

Cliquez ici pour voir le contenu de l’avis que nous avons envoyé aux utilisateurs affectés. Veuillez noter que le mail de Yahoo concernant ce problème affiche l’icône Yahoo lorsqu’il est consulté via le site Web Yahoo ou l’application Yahoo Mail. Et surtout, le mail ne vous demande pas de cliquer sur un lien, ne contient aucune pièce jointe et ne vous réclame aucune information personnelle. Si le mail que vous recevez au sujet de ce problème vous invite à cliquer sur un lien ou à télécharger une pièce jointe, ou vous demande de fournir des informations, cela signifie qu’il n’a pas été envoyé par Yahoo et peut être une tentative de vol de vos informations personnelles. Évitez de cliquer sur des liens ou de télécharger des pièces jointes provenant de mails suspects.

Nous avons pris les mesures nécessaires pour protéger nos utilisateurs :

• Nous informons les utilisateurs concernés.
• Nous demandons à tous les utilisateurs concernés de changer au plus vite leur mot de passe et d’utiliser d’autres méthodes de vérification de leur compte.
• Nous avons invalidé les questions et réponses non chiffrées concernant la sécurité afin qu’elles ne puissent pas être utilisées pour accéder à un compte.
• Nous recommandons à tous les utilisateurs qui n’ont pas changé leur mot de passe depuis 2014 de le faire dès maintenant.
• Nous continuons d’améliorer nos systèmes, conçus pour détecter et empêcher tout accès non autorisé à des comptes utilisateur.
• Nous poursuivons notre enquête sur cette affaire.

Vous pouvez changer votre mot de passe Yahoo ou les questions/réponses de sécurité en cliquant ici.

Nous invitons tous les utilisateurs à suivre les recommandations de sécurité suivantes :

• Changez le mot de passe et les questions/réponses de sécurité de tout autre compte pour lequel vous avez utilisé des identifiants semblables ou identiques à ceux de votre Compte Yahoo.
• Vérifiez que vos comptes ne font pas l’objet d’activités suspectes.
• Faites preuve de la plus grande prudence si vous recevez des mails non sollicités vous demandant de fournir des informations personnelles ou qui vous envoient sur une page Web où vous devez indiquer des informations personnelles.
• Évitez de cliquer sur des liens ou de télécharger des pièces jointes provenant de mails suspects.

Envisagez également de passer à la validation en deux étapes. Cet outil d’authentification simple est plus sécurisé et nécessite un code de validation en plus de votre mot de passe.

Même si les informations du compte utilisateur affecté ne concernent pas les mots de passe non protégés, les données de carte de crédit ou les informations de compte bancaire, nous vous recommandons de rester vigilant, et de passer en revue vos relevés de compte et de surveiller vos rapports de crédit. Vous trouverez ci-dessous les coordonnées des trois agences de renseignement sur la consommation auprès desquelles vous pouvez obtenir un rapport de crédit.

Vous pourrez également établir un « gel de sécurité » (appelé également « gel de crédit ») dans votre dossier de crédit. Le gel de sécurité empêche les créanciers éventuels d’accéder sans votre accord à votre dossier de crédit auprès des agences de renseignement sur la consommation. L’établissement, l’annulation et/ou la suppression d’un gel de sécurité peuvent occasionner des frais généralement compris entre 5 et 20 $ par action. Contrairement à l’avis de fraude, vous devez établir un gel de sécurité dans votre dossier de crédit de chaque agence de renseignement sur la consommation. Pour plus d’informations sur les gels de sécurité, vous pouvez contacter les trois agences américaines de renseignement sur la consommation ou la FTC comme indiqué ci-dessus. Les instructions d’établissement d’un gel de sécurité étant différentes d’un État à l’autre, veuillez contacter ces trois agences de renseignement nationales pour plus d’informations.

Les agences de renseignement sur la consommation peuvent exiger des documents d’identification avant d’honorer votre demande. Vous pouvez être invité à fournir les informations suivantes :

• Votre nom complet avec l’initiale du deuxième prénom et la génération (Jr., Sr., II, III)
• Votre numéro de sécurité sociale
• Votre date de naissance
• Adresses où vous avez vécu au cours des cinq dernières années
• Copie lisible d’une pièce d’identité officielle (permis de conduire d’État ou carte d’identité militaire)
• Preuve de votre adresse de résidence actuelle (facture récente d’électricité, de gaz, etc. ou relevé de compte)

Vous avez le droit d’obtenir un rapport de police et de demander un gel de sécurité en suivant les instructions ci-dessus. Les agences de renseignement sur la consommation peuvent vous facturer des frais pouvant aller jusqu’à 10 $ pour placer un gel de sécurité sur votre compte et vous demander de fournir des informations personnelles (votre nom, votre numéro de sécurité sociale, votre date de naissance et votre adresse), ainsi que des documents d’identification (copie de pièce d’identité officielle, et facture ou relevé) avant d’honorer votre demande de gel de sécurité. L’établissement, l’annulation ou la suppression d’un gel de sécurité sont gratuits si vous avez été victime d’une usurpation d’identité et que vous fournissez aux agences de renseignement sur la consommation un rapport de police valide.

Non. Les systèmes sur lesquels des données ont été dérobées ne contenaient aucune donnée utilisateur Tumblr lors de l’usurpation.

Si vous avez besoin de plus d’informations ou d’assistance avec votre compte, consultez le site https://help.yahoo.com. Vous y trouverez les dernières informations et pourrez accéder au support technique direct. NE COMMUNIQUEZ AVEC AUCUN des services en ligne frauduleux, payants et gratuits qui PRÉTENDENT être l’assistance Yahoo. À noter : Les canaux Yahoo offrent tous un support via https://help.yahoo.com.