yahoo

[ironman]

Yahoo!: transférer des mails ou clore son compte n'est plus possible







Le géant historique du web américain est toujours dans la tourmente et semble avoir désactivé temporairement quelques fonctionnalités sur les comptes mails de ses clients.

Le piratage massif des comptes mails du service américain Yahoo! était déjà embarrassant et les récentes révélations de Reuters concernant l'accès aux courriers électroniques des utilisateurs par le gouvernement américain n'a pas arrangé les choses. Ainsi, Yahoo! pourrait être victime d'un "exode électronique" depuis plusieurs semaines: des centaines d'utilisateurs souhaitent passer à la concurrence. Mais, a priori, on ne quitte pas le géant américain si facilement.

Selon l'agence Associated Press et le site américain Engadget, plusieurs usagers se sont retrouvés dans l'impossibilité d'enclencher la procédure de renvoi automatique de leurs mails depuis une boîte Yahoo! vers celle de leur choix. Ou, plus exactement, si cette option n'avait jamais encore été activée par les utilisateurs, celle-ci semble désormais inopérante. En revanche, pour ceux qui pratiquent le renvoi d'emails automatiques depuis plusieurs mois ou des années, rien ne change, la fonctionnalité demeure active... Yahoo justifie ainsi ce distinguo sur son site américain d'aide aux utilisateurs: Yahoo! -Comprenez : "[La fonction] Renvoi automatique envoie une copie d'un message entrant d'un compte [mail] à un autre. Cette fonctionnalité est pour le moment en développement/amélioration. Donc, puisque nous travaillons à l'améliorer, nous l'avons temporairement désactivée, ce qui empêche l'ajout de toutes nouvelles adresses de renvoi. Si vous aviez déjà activé le renvoi par le passé, votre mail continuera d'être renvoyé à l'adresse renseignée".

Plus ennuyeux, selon les sites TechCrunch et The Register, certains abonnés de British Telecom (qui utilise la plateforme mail de Yahoo!) n'ont, eux, tout simplement pas pu fermer voire supprimer leur compte. Et un message d'erreur (toujours en anglais) vient justifier ceci de la manière suivante: "Désolé, la fonction de suppression de compte n'est pas disponible pour le moment. Elle sera de nouveau opérationnelle d'ici la fin septembre". Message toujours en ligne ce mardi 11 octobre.

Nous avons contacté la division France de Yahoo! pour avoir de plus amples informations ou explications. Voici l'explication donnée :"Nous travaillons actuellement pour que la fonctionnalité auto-forward soit à nouveau accessible au plus vite car nous savons à quel point elle est utile à nos utilisateurs. Cette fonctionnalité a été temporairement désactivée dans le cadre d'une opération de maintenance prévue précédemment et destiné à améliorer le fonctionnement de cette fonctionnalité entre les différents comptes d'un utilisateur. Ces derniers peuvent d'ailleurs s'attendre à une mise à jour de l'auto-forward très prochainement. En parallèle, nous continuons à soutenir la gestion de comptes multiples. "

[ironman]

Yahoo : une faille permettait de lire les mails de n’importe quel utilisateur

128f0b835806fdc7d8d6dbe18cda4.jpg

Un attaquant pouvait insérer du code malveillant dans les attributs HTML des pages de Yahoo Mail. Celui-ci était exécuté automatiquement à l’ouverture du message.

Les webmails cachent plus des chausse-trappes que l’on pourrait imaginer. Le chercheur en sécurité Youko Pynnönen de la société finlandaise Klikki Oy vient de dévoiler une faille dite de « cross site scripting » (XSS) dans le service de messagerie Yahoo. Désormais corrigée, cette vulnérabilité permettait d’insérer dans un message du code malveillant qui était automatiquement exécuté dès l’ouverture par le destinataire. Ce dernier n’avait même pas besoin de cliquer sur un lien ou d’ouvrir un fichier joint. A titre de démonstration, M. Pynnönen a créé un message vérolé qui, une fois ouvert, était capable de lire toute la boîte email du destinataire et de renvoyer ces informations à un serveur.

Le fond du problème résidait dans la manière dont les pages de Yahoo Mail étaient construites. Dans certaines parties du code, il était possible d’insérer dans les attributs HTML un code Javascript sans que le serveur ne le détecte. Dans un autre exemple (voir image ci-dessous), le chercheur a créé un code qui provoque l’ouverture d’une fenêtre d’alerte et il l’a inséré dans un attribut HTML qui était normalement réservé à une URL.

62b4e803f9b6604726b1902658728.jpg

Après avoir été notifié, Yahoo a rapidement apporté un correctif supprimant cette faille. De son côté, le chercheur a reçu une prime de 10.000 dollars, conformément au programme HackerOne Bug Bounty mis en place par le géant américain. En janvier dernier, il avait déjà trouvé une faille similaire, permettant l’exécution de code malveillant dans les emails Yahoo. Là encore, il avait obtenu 10.000 dollars de récompense.

[ironman]

L'action Yahoo perd près de 5% après la révélation d'une nouvelle cyberattaque sur un milliard d'utilisateurs


L'action du groupe internet Yahoo perdait près de 5% jeudi à la Bourse de New York, la révélation d'une nouvelle cyberattaque sur un milliard d'utilisateurs de sa messagerie faisant planer des doutes quant au rachat d'une partie de ses activités par Verizon.
Yahoo, qui traverse de grandes difficultés financières, a admis mercredi avoir été victime en 2013 de pirates informatiques, qui auraient pu s'emparer des noms, numéros de téléphone ou dates de naissance de ses clients, et perdait 4,74% à 38,97 dollars vers 16H45 GMT peu avant la mi-séance.
A la suite de cette nouvelle révélation, le géant des télécoms Verizon (+0,66% à 51,97 dollars) serait en train d'examiner une possible réduction du prix de rachat de ces activités ou même un retrait pur et simple de son offre, croit savoir l'agence Bloomberg News.
Verizon et Yahoo avaient conclu fin juillet un accord pour que ce dernier cède ses activités de coeur de métier (Yahoo Mail, Yahoo News...) pour 4,8 milliards de dollars.
Après la révélation d'une première cyberattaque, portant cette fois sur l'année 2014 et 500 millions de comptes, Verizon s'était dit prêt fin octobre à mener à bien la transaction mais avait prévenu qu'il ne le ferait pas "aveuglément".
Contacté mercredi soir par l'AFP après la révélation du nouveau piratage, le géant des télécoms a assuré qu'il attendrait "d'évaluer l'impact de ce nouvel épisode avant de parvenir à des conclusions finales".

"Nous évaluerons la situation pendant que Yahoo continue ses investigations", a ajouté le groupe dans un courriel.
Yahoo n'avait guère besoin d'un nouveau coup dur. Pionnier d'internet, le groupe fondé en 1994 a, un temps, été la référence en matière de moteur de recherche et affolait les compteurs avec une valorisation boursière de 125 milliards de dollars.
Mais il ne s'est toutefois jamais remis de l'arrivée de Google qui l'a détrôné et ringardisé.

**Contenu caché: Cliquez sur Thanks pour afficher. **

[ironman]

Rachat de Yahoo! : Verizon aurait obtenu un rabais de 250 millions de dollars

Cette transaction devait initialement se monter à 4,8 milliards de dollars avant l'annonce de plusieurs cyberattaques massives portant sur des millions de comptes Yahoo!.

Depuis l'annonce du piratage de 500 millions de comptes des utilisateurs de Yahoo! en septembre dernier, les contours et l'issue même du rachat des activités internet de l'ex-fleuron du web des années 1990 par Verizon étaient lestés de lourdes incertitudes.
Selon les informations de l'agence Bloomberg , le deal devrait finalement bien être bouclé et l'opérateur télécoms serait sur le point d'obtenir une diminution du prix de 250 millions de dollars. Un "rabais" qui pourrait se monter jusqu'à 350 millions de dollars, avance l'agence Reuters. L'été dernier, les deux groupes s'étaient entendus sur un montant de 4,83 milliards de dollars , après plusieurs mois d'interminables enchères et négociations.
Mais quelques semaines plus tard, la révélation du "hack du siècle" , qui se serait déroulé à la fin de l'année 2014, avait tout remis en cause. Yahoo! assurait alors que cette cyberattaque avait été commise par des hackers « parrainés par un Etat ».
Un milliard de comptes Yahoo! piratés en 2013

De son côté, la direction de Verizon avait indiqué qu'elle comptait bien mener à terme la transaction mais pas "aveuglément". Traduction, la société s'était rapidement attelée à évaluer l'impact de ce piratage massif et se réserver la possibilité de renégocier le prix de rachat.
« Nous avons toutes les raisons de penser que l'impact de la cyberattaque est important » avait alors jugé Craig Silliman, responsable du département juridique de l'opérateur télécoms. Le 14 décembre, nouveau coup de théâtre : Yahoo! annonçait avoir subi une vaste cyberattaque, cette fois en 2013, portant sur "plus d'un milliard" d'utilisateurs et "probablement » distincte de la première rendue publique quelques semaines plus tôt.
Lors de la publication de ses résultats annuels fin janvier , Yahoo! avait annoncé que l'opération de rachat suivait son cours mais que celle-ci devrait être finalisée lors du deuxième trimestre et plus lors des trois premiers de l'année comme évoqué jusqu'alors. Un moindre mal pour Yahoo!. En Bourse, l'action du groupe a grimpé de 3,5% après l'article de Bloomberg.

[ironman]

Yahoo annonce avoir été piraté (oui, encore une fois…).

0258000008632140-photo-marissa-mayer-yahoo.jpg

"Jamais deux sans trois". Pour Yahoo, en tout cas, cette maxime s'applique à la perfection. Le géant du web a annoncé, mercredi 1er mars 2017, avoir subi un piratage. Non, il ne s'agit pas d'un communiqué de presse sur l'un ou l'autre des deux piratages déjà dévoilés... il s'agit bien de la découverte d'un troisième piratage de comptes Yahoo. C'est la troisième annonce de ce type par Yahoo en six mois.

Déjà que Verizon a réussi à obtenir une ristourne de quelques centaines de millions d'euros sur le rachat de Yahoo à cause des piratages précédents, voilà que l'opérateur américain a une nouvelle raison de s'inquiéter.

32 millions de comptes Yahoo piratés

Le piratage découvert par les équipes de Yahoo est, cette fois, assez limité : alors qu'on parlait de plusieurs milliards de comptes hackés lors des deux premières annonces, cette fois ce sont environ 32 millions de comptes qui ont été piratés. Les hackers ont utilisé, selon Yahoo, des cookies créés de toutes pièces permettant l'accès aux comptes sans avoir besoin de mot de passe.

Yahoo avait déjà annoncé avoir découvert cette faille mais il s'agit là de l'annonce officielle ; l'estimation du nombre de comptes piratés est largement supérieure à ce à quoi s'attendait l'entreprise. A l'origine de ce piratage, selon Yahoo, il y aurait la même entité étatique qui se cache derrière le premier piratage annoncé par l'entreprise, celui de 2014 concernant 500 millions de comptes. Mais là où Yahoo doit s'inquiéter c'est que, toujours selon le communiqué de presse, les pirates auraient eu accès au code source propriétaire de Yahoo pour développer ces cookies.

Marissa Mayer privée de bonus, le conseiller juridique de Yahoo démissionne

Un troisième piratage découvert en six mois, voilà qui fait des dégâts à une entreprise. Et cette fois Yahoo ne va pas laisser les choses sans sanctions : la première à en faire les frais est Marissa Mayer, PDG de l'entreprise, qui a déjà annoncé qu'elle quitterait Yahoo pour Verizon lorsque ce dernier aura finalisé le rachat du géant du web. Mayer sera tout simplement privée de bonus cash pour 2016 tandis qu'elle a elle-même refusé tout bonus en actions pour 2017.

Mais ce nouveau piratage fait perdre à Yahoo un allié de taille : Ronald Bell. Il était le conseiller juridique de Yahoo mais a démissionné à la suite de ce nouveau piratage. Un coup dur pour le groupe qui a annoncé, mercredi 1er mars 2017, courir le risque de poursuites au pénal.

[ironman]

Piratage de Yahoo! : tous les comptes ont finalement été touchés

La cyberattaque massive dont a été victime le géant Yahoo! a fait plus de dégât que prévu. Au total, l’ensemble des 3 milliards de comptes d’utilisateurs ont été impactés par ce piratage. Record battu.

Géant du web dans les années 1990 et jusqu’au milieu des années 2000, Yahoo! a perdu de sa superbe au point de ne faire parler de lui que pour les rumeurs de rachat et les piratages. L’an passé, Yahoo! était en effet revenu sur le devant de la scène pour annoncer deux piratages massifs survenus en 2013 et 2014.
3 milliards de comptes ont été victimes du piratage

La firme de Sunnyvale avait annoncé un premier piratage en septembre 2016. Celui-ci, survenu en 2014, avait affecté plus de 500 millions de comptes de l’entreprise.
Une bien mauvaise nouvelle pour Yahoo! alors en pleine négociation pour un rachat par le géant américain des télécoms Verizon. Et comme un malheur ne vient jamais seul, Yahoo! a annoncé en fin d’année avoir subi en août 2013 un piratage d’une ampleur encore plus importante. En effet, plus d’un milliard de comptes d’utilisateurs ont été piratés.
Les noms, dates de naissance, numéros de téléphone ou adresses électroniques des clients de Yahoo! étaient concernés par ce vol. L’entreprise et sa PDG Marissa Mayer ont tenté de rassurer en indiquant que les informations relatives à leurs cartes de crédit ou à leurs comptes bancaires n’ont pas été affectées : « les données des cartes de paiement et les informations sur les comptes en banque ne sont pas stockées au sein du système ».


Toutefois, ces attaques ont terni l’image de Yahoo! et touché la firme au porte-monnaie lors de sa vente. Annoncé à 4,8 milliards de dollars, le montant de la vente à Verizon est finalement passé à 4,48 milliards de dollars soit 350 millions de moins que prévu.
Oath se veut rassurant sur la nature des données dérobées

On pensait l’affaire clause avec le départ de la PDG Marissa Mayer, mais Oath, la nouvelle maison-mère de Yahoo!, a décidé de mener sa petite enquête et les conclusions donnent le tournis. Contrairement à ce qu’avait indiqué Yahoo!, l’attaque subie à l’été 2013 n’a pas affecté 1 milliard de comptes, mais tous les comptes d’utilisateurs de Yahoo!. « À la suite d’une enquête menée avec l’aide de spécialistes judiciaires externes, que tous les comptes d’utilisateurs de Yahoo! ont été touchés par le vol d’août 2013 », précise la filiale de Verizon dans son communiqué de presse.
Un nouveau rebondissement dans « l’affaire Yahoo! » et une annonce importante pour Verizon qui n’a pas hésité à faire appel à des experts externes pour faire toute la lumière sur ce piratage. Oath indique avoir envoyé une notification par mail aux utilisateurs qui n’avaient pas été précédemment alertés. L’entreprise indique également dans son communique qu’elle « continue de travailler étroitement avec les forces de l’ordre » et « à prendre des mesures importantes » pour assurer la sécurité des utilisateurs.
À noter que si le piratage est une ampleur sans précédent, l’enquête de Oath confirme que le vol de données personnelles n’inclue pas les mots de passe en clair, les informations bancaires et les numéros de carte bancaire.