Le 14 décembre 2016, Yahoo annonçait qu’une analyse des fichiers de données fournis dans le cadre de l’application de la loi lui avait permis de détecter que, en août 2013, des données associées à certains comptes utilisateur avaient été usurpées par un tiers non autorisé. Outre la publication d’un avis public sur son site Web et la parution d’un article de presse, Yahoo avait informé à cette date les utilisateurs identifiés comme étant potentiellement affectés. Nous avons obtenu récemment d’autres informations dont l’analyse, réalisée avec la collaboration d’experts externes, a permis d’identifier d’autres comptes utilisateur affectés. Nous informons actuellement ces autres comptes utilisateur.

Une analyse réalisée avec la collaboration d’experts externes a permis à Yahoo de déterminer que tous les comptes existants au moment de l’usurpation des données survenue en août 2013 étaient probablement affectés.

Il est important de noter que, parallèlement à l’annonce publiée en décembre 2016 concernant l’usurpation de données d’août 2013, Yahoo a pris les mesures nécessaires pour protéger tous les comptes. L’entreprise a également demandé à tous les utilisateurs qui n’avaient pas changé de mot de passe depuis cette usurpation d’en choisir un autre. Yahoo a également invalidé les questions et réponses non chiffrées concernant la sécurité afin qu’elles ne puissent pas être utilisées pour accéder à un compte.

En ce qui concerne les comptes utilisateur affectés, les informations dérobées portent sur les noms, les adresses mail, les numéros de téléphone, les dates de naissance, les mots de passe cryptés (au format MD5) et, dans certains cas, les questions/réponses chiffrées ou non chiffrées concernant la sécurité. Les recherches indiquent que les informations dérobées n’incluaient ni les mots de passe en texte clair, ni les données de carte de paiement, ni les informations concernant les comptes bancaires. Les données de carte de paiement et les informations relatives aux comptes bancaires ne sont pas stockées dans le système que nous pensons être concerné.

Oui, elle ne concerne pas un nouveau problème. Cette notification publiée en octobre 2017 est liée à la même usurpation de données que Yahoo avait annoncée le 14 décembre 2016.

Yahoo a déjà informé les comptes utilisateur qui, pourraient être affectés par falsification de cookie. Aucune autre notification concernant la falsification de cookie n’est envoyée dans le cadre de cette mise à jour. Les nouveaux comptes utilisateur que nous informons actuellement de l’usurpation des données d’août 2013 ont, pour certains, été déjà informés de la falsification de cookie si Yahoo a pensé qu’un cookie falsifié associé à leur compte avait été utilisé ou usurpé.

Le cryptage est une fonction mathématique unilatérale qui convertit une chaîne de données originale en une chaîne de caractères aléatoire. Les mots de passe cryptés ne peuvent pas être rétablis en mots de passe en texte brut. Lors de l’incident d’août 2013, Yahoo utilisait le système MD5 pour crypter les mots de passe. Yahoo a commencé à mettre à niveau la protection par mot de passe et a adopté bcrypt en été 2013. Bcrypt est un mécanisme de cryptage de mots de passe qui intègre des fonctionnalités de sécurité, y compris le salage et les nombreux cycles de calcul, afin de renforcer la protection contre la résolution des mots de passe.

Cliquez ici pour voir le contenu de l’avis que nous avons envoyé aux utilisateurs affectés. Veuillez noter que les mails envoyés par Yahoo concernant ce problème affichent l’icône Yahoo lorsqu’ils sont affichés sur le site Web de Yahoo ou dans l’application Yahoo Mail. Important : les mails ne vous demandent pas de cliquer sur un lien, ne contiennent aucune pièce jointe et ne vous demandent aucune information personnelle. Si le mail que vous recevez au sujet de ce problème vous invite à cliquer sur un lien ou à télécharger une pièce jointe, ou vous demande de fournir des informations, cela signifie qu’il n’a pas été envoyé par Yahoo et peut être une tentative de vol de vos informations personnelles. Évitez de cliquer sur des liens ou de télécharger des pièces jointes provenant de ces mails suspects.

Parallèlement à l’annonce de décembre 2016, Yahoo a pris les mesures nécessaires pour protéger non seulement les utilisateurs identifiés à cette date comme étant potentiellement affectés, mais également les autres utilisateurs. Plus précisément :

• Yahoo a demandé aux utilisateurs pouvant être concernés de changer leur mot de passe.
• Yahoo a également demandé à tous les autres utilisateurs qui n’avaient pas changé de mot de passe depuis cette usurpation d’en choisir un autre.
• Yahoo a invalidé les questions et réponses non chiffrées concernant la sécurité afin qu’elles ne puissent pas être utilisées pour accéder à un compte.

Nous continuons à collaborer étroitement avec les forces de l’ordre, et continuons à améliorer les protections et les systèmes dont nous disposons pour détecter et empêcher tout accès non autorisé aux comptes utilisateur.

Vous pouvez changer votre mot de passe Yahoo ou désactiver les questions/réponses de sécurité en cliquant ici. Parallèlement à l’annonce publiée en décembre 2016, nous avons demandé aux utilisateurs qui n’avaient pas changé de mot de passe depuis cette usurpation d’en choisir un autre. Nous avons également invalidé les questions et réponses non chiffrées concernant la sécurité afin qu’elles ne puissent pas être utilisées pour accéder à un compte.

Yahoo a déjà pris les mesures nécessaires pour sécuriser les comptes utilisateur, mais nous invitons nos utilisateurs à suivre les recommandations suivantes concernant la sécurité de votre compte :

• Changez les mots de passe et les questions/réponses de sécurité de tous les autres comptes pour lesquels vous avez utilisé des informations semblables ou identiques à celles de votre Compte Yahoo.
• Vérifiez que vos comptes ne font pas l’objet d’activités suspectes.
• Méfiez-vous des communications non sollicitées qui vous demandent de fournir des informations personnelles ou vous orientent vers une page Web vous demandant des informations personnelles.
• Évitez de cliquer sur des liens ou de télécharger des pièces jointes à des mails suspects.

Par ailleurs, pensez à utiliser la Clé de compte Yahoo Cet outil d’authentification simple évite d’avoir à utiliser un mot de passe pour vos connexions avec Yahoo

Même si les informations du compte utilisateur qui ont été dérobées ne concernent pas les mots de passe non protégés, les données de carte de crédit ou les informations de compte bancaire, nous vous recommandons de rester vigilant, et de passer en revue vos relevés de compte et de surveiller vos reports de crédit.

Pour en savoir plus sur la protection de vos informations personnelles, vous pouvez contacter le bureau du Commissaire à la protection des données en Irlande qui est l’organisme de réglementation de Yahoo! EMEA Limited, votre fournisseur de services de messagerie Yahoo. Voici les coordonnées du Commissaire à la protection des données :

Data Protection Commissioner
Canal House
Station Road
Portarlington
R32 AP23 Co. Laois
Irlande
https://www.dataprotection.ie/docs/Contact-us/b/11.htm

Vous pouvez également contacter le bureau du Commissaire à la protection des données pour en savoir plus sur la protection de vos informations personnelles à l’adresse https://www.cnil.fr/.

Si vous avez besoin d’autres informations ou d’aide concernant votre compte, consultez fr.aide.yahoo.com Vous y trouverez les dernières informations et pourrez accéder au support technique direct. NE FAITES APPEL À AUCUN service de support, à l’exception de ceux fournis par Yahoo, en particulier les fournisseurs de service de support qui facturent leur service. Yahoo ne facture pas le service de support pour ses comptes. Veuillez noter que les canaux Yahoo offrent tous un support via fr.aide.yahoo.com.