Piratage de Yahoo! : trois questions essentielles si vous êtes détenteur d'un compte

Les noms, numéros de téléphone, mots de passe et réponses aux questions secrètes ont pu être dérobés. 

En septembre 2016, Yahoo avait déjà annoncé que 500 millions de comptes de ses utilisateurs avaient été piratés à la \"fin 2014\".
En septembre 2016, Yahoo avait déjà annoncé que 500 millions de comptes de ses utilisateurs avaient été piratés à la "fin 2014". (ALBERT GEA / REUTERS)

Trois mois après avoir annoncé un piratage de 500 millions de comptes de ses utilisateurs survenu fin 2014, nouveau vent de panique chez Yahoo!. Le géant du net a révélé, mercredi 14 décembre, avoir été victime d'une autre cyberattaque de masse en 2013. Dans un communiqué, le groupe indique que "plus d’un milliard" de comptes sont concernés. Concrètement, les noms, numéros de téléphone ou dates de naissance ont pu être dérobés, tout comme des mots de passe et des réponses aux questions secrètes permettant de les réinitialiser.

Que faire si vous possédez un compte Yahoo! et comment mieux se protéger face aux risques de piratage sur internet ? Franceinfo a demandé à Gérôme Billois, expert en cybersécurité au cabinet Wavestone. 

Franceinfo : Qu'est-ce que je risque si je possède un compte Yahoo! ?

Gérôme Billois : Le risque principal, c'est d'être victime de tentatives de fraude. Il existe deux possibilités d'utilisation par les cybercriminels lorsque des données comme les noms, les numéros de téléphone ou les mots de passe fuitent. Ils peuvent les réutiliser pour accéder à votre espace Yahoo! (et aux données et documents que vous y stockez) ou utiliser vos informations d'identification pour accéder à d'autres comptes. Je pense notamment aux questions secrètes, qui permettent de réinitialiser vos mots de passe. A partir de là, un cybercriminel peut réaliser des commandes en ligne à votre nom, changer vos mots de passe, accéder à votre vie privée.

Concernant les données bancaires, Yahoo! affirme que ces informations n'ont pas été affectées. Ai-je raison de me méfier quand même ?

Si vous regardez les termes exacts employés, le groupe utilise beaucoup de conditionnel. Aujourd'hui, Yahoo! prend conscience que son système de détection et d'investigation n'est pas forcément très fiable. Et que ce n'est pas un cas isolé. Il faut donc rester très attentif sur ce qui peut se passer dans la sphère financière après ce piratage. En revanche, il existe tout de même un point "positif" : cette fuite des données a eu lieu il y a trois ans. La plupart des cartes bancaires enregistrées sur les comptes piratés ont donc sans doute expiré. Dans nos pays européens, la durée d'expiration des cartes bancaires est généralement de deux ans. En d'autres termes, même si des données bancaires ont pu être piratées, le risque d'une utilisation frauduleuse reste assez faible.

Au-delà d'une vigilance accrue, que puis-je faire pour mieux me protéger ?

Il existe plusieurs bons réflexes. Le conseil de base, si vous utilisez un compte Yahoo!, c'est de changer votre mot de passe, en particulier si vous l'utilisez pour d'autres sites web. Il faut également changer vos réponses aux questions de sécurité. En règle générale, c'est toujours les mêmes réponses que l'on utilise pour réinitialiser ses mots de passe. Une date de naissance, le nom d'un animal de compagnie, un lieu de naissance... Avoir accès à ces réponses, c'est avoir potentiellement accès à l'ensemble de vos comptes.

Pour se protéger, il existe trois actions à réaliser. La première consiste à utiliser de fausses réponses et à les spécifier pour chaque site. Le problème qui en découle, c'est qu'il faut réussir à se souvenir de toutes. En conséquence, le deuxième point est de parvenir à gérer l'ensemble de ses mots de passe. Pour y arriver, il existe des solutions, dont certaines gratuites, de coffre-fort à mots de passe. Ces logiciels permettent de stocker vos mots de passe en protégeant leur accès avec un "code maître" que vous pourrez complexifier à l'envie. L'avantage étant de n'en avoir plus qu'un seul à retenir.

Enfin, vous pouvez avoir recours à une authentification à deux facteurs. Cela consiste à recevoir un SMS avec un code d'authentification aléatoire lors d'une procédure d'identification. Je recommande de l'activer pour tous les sites sensibles.