Des utilisateurs de Yahoo victimes d’attaques par faux cookies

Le portail est en train d’alerter une partie de ses utilisateurs sur des éventuelles intrusions en 2015 et 2016. Les pirates se sont appuyés sur des faux cookies d’authentification qui, depuis, ont été invalidés.
Le siège de Yahoo (2014)
Le siège de Yahoo (2014) JUSTIN SULLIVAN / GETTY IMAGES NORTH AMERICA / AFP

Le triste feuilleton Yahoo ne semble jamais se terminer. Une série d’utilisateurs a reçu récemment une notification plutôt angoissante, alertant sur des éventuelles intrusions sur leurs comptes. Ce fut le cas, notamment, de Joshua B. Plotkin, un professeur de biologie américain. « Sur la base de l’enquête en cours, nous pensons qu’un faux cookie a pu être utilisé entre 2015 ou 2016 pour accéder à votre compte », peut-on lire dans le message qu’il a reçu.

Cette histoire de faux cookies n’est pas nouvelle. En décembre dernier, lorsque Yahoo avait révélé le vol d’un milliard de comptes utilisateur en 2013, l’entreprise avait déjà indiqué que des pirates avaient volé sur l’un de leurs serveurs un code source propriétaire utilisé pour créer les cookies d’authentification. Dès lors, il leur était possible de créer de faux cookies permettant de s’introduire dans des comptes d’utilisateurs sans même avoir besoin d’un mot de passe.

Ce qui est nouveau, en revanche, ce sont les dates. Yahoo n’a pas précisé quand ce code source a été volé. Il a juste indiqué qu’il a probablement été subtilisé par le même acteur gouvernemental qui lui a siphonné 500 millions d’identifiants fin 2014. Ce qui, visiblement, semble cohérent au regard des années mentionnées dans le message.

En d’autres termes, ce mystérieux groupe de pirates a été capable d’accéder potentiellement à n’importe quel compte utilisateur Yahoo, sans avoir à connaître de mot de passe, et cela pendant deux ans. Les utilisateurs ayant activé la procédure d’authentification forte n’étaient pas forcément mieux protégés, car le cookie d’authentification n’intervient qu’après avoir donné un login, un mot de passe et, éventuellement, un second facteur d’authentification. Le cookie est justement là pour maintenir la connexion pendant la durée d’une session, sans que l’utilisateur ne soit contraint de s’authentifier sans arrêt.

Le nombre de victimes n’est pas précisé

Combien d’utilisateurs sont concernés par cette attaque ? Yahoo ne le dit pas. Interrogé par Associated Press, M. Plotkin explique : « Parmi les six membres de notre laboratoire, au moins un autre a reçu ce message. Evidemment, c’est anecdotique, mais pour que deux personnes au sein d’un groupe de six l’aient reçu, je suppose qu’il y en a beaucoup ». Contacté par Ars Technica, Yahoo explique de son côté avoir pu « identifier pendant l’enquête les comptes utilisateurs pour lesquels des faux cookies ont pu être volés ou utilisés ». Le portail est en train de tous leur envoyer un email. Il a, par ailleurs, « invalidé les faux cookies afin qu’ils ne puissent plus être utilisés ».

Il faut également espérer que les pirates ne soient plus en capacité de créer des cookies capables d’usurper l’identité d’un utilisateur. Et pour cela, il est probable que Yahoo soit non seulement contraint d’invalider les cookies en circulation, mais aussi de modifier sa manière de créer des cookies. Il est dommage que Yahoo ne donne pas plus de précisions sur cette affaire...