Fuite de mots de passe chez Yahoo! et au Figaro

Les pirates ont utilisé la méthode de l’injection SQL (une requête non prévue dans une base de données, NDLR) et ont publié 2 700 identifiants de connexion sur le site D33Ds Company pour que la menace soit prise au sérieux par les responsables de Yahoo!. Ils ont d’ailleurs précisé : « Les responsables de la gestion de la sécurité de ce sous-domaine [de Yahoo!, NDLR] prendront cela comme une alerte, non comme une menace. Beaucoup de failles de sécurité ont été exploitées dans des serveurs Web appartenant à Yahoo!, qui ont causé des dommages beaucoup plus grands que notre action. S’il vous plaît, ne les prenez pas à la légère. Le sous-domaine et les paramètres [du sous-domaine] n’ont pas été affichés afin d’éviter d’autres dommages ». Le géant américain n’a pour le moment fait aucun commentaire officiel.

En France, c’est le site du Figaro qui a été victime d’une faille permettant la divulgation en clair dans les pages indexées de Google des adresses mails et des mots de passe de connexion de 168 membres. Un chiffre certes, bien moins important que celui concernant yahoo!. Selon le blog korben.info qui a révélé l’affaire le 11 juillet, le problème remonte au 8 juillet, mais les services informatiques du Figaro auraient mis quelque temps à réagir. Prévenu le 10 au soir, alors que de nombreux tweets circulaient déjà, Le Figaro aurait dans un premier temps évoqué un piratage informatique, pour finalement conclure à une faille dans la fonction Drupal qui génère la pagination des pages Web du site. Cette faille est corrigée dans la version 7 de Drupal, mais le site du Figaro utilise une version « modifiée » de Drupal 6 et la correction n’aurait pas été effectuée.

Cette faille seule ne permettait pas la divulgation des adresses mails et mots de passe, précise Le Figaro : « Pour améliorer les performances du site, le code HTML de la liste des commentaires sur un article, bloc de pagination inclus, est mis en cache après génération, et servi aux internautes suivants, pour une durée de quelques minutes. Le bug apparaît donc lors de la combinaison des conditions suivantes : un utilisateur [s’identifie] dans le but de poster un commentaire et l'affichage de la liste de commentaires qui s'ensuit est le premier depuis l'expiration des données du cache pour cet article, provoquant ainsi le recalcul et la remise en cache […] de la liste des commentaires. [La page] contient alors ses identifiants en clair dans les [adresses] URL des liens du bloc de pagination, et est servie aux visiteurs suivants (et [à] Google s'il passe à ce moment-là) pendant les quelques minutes suivantes ». Ce qui explique que seuls 168 comptes soient concernés, soit moins de 1 % des membres.

Fidèles lecteurs en ligne du Figaro, allez donc changer votre mot de passe ainsi que ceux de vos autres comptes – mails ou autres – si vous utilisiez le même sésame. Si vous utilisez un compte mails Yahoo! ou Yahoo! Messenger qui permet de passer des appels voix sur IP, nous vous conseillons, dans un premier temps, d’aller consulter l’historique de vos connexions. Ses informations sont stockées dans la rubrique intitulée Infos compte. Et enfin, même si votre compte n’a pas été piraté, en apparence, changez également votre mot de passe et rendez-vous dans les préférences afin de modifier les questions secrètes qui permettent sa récupération. Enfin, de manière générale, c’est l’occasion pour nous de vous rappeler d’utiliser un mot de passe différent pour chaque service, composé de majuscules, de minuscules sans oublier d'y associer quelques chiffres !