En septembre 2016, Yahoo a révélé un piratage qui a compromis 500 millions de comptes d’utilisateurs. En décembre, l’entreprise a révélé un autre piratage, touchant cette fois un milliard de comptes, un record. Mardi, Yahoo a mis à jour ce nombre à l’ensemble des 3 milliards de comptes que ses services.

Et oui, cela inclut le vôtre.

Le piratage a exposé des noms, des adresses électroniques, des numéros de téléphone, des dates de naissance, des mots de passe cryptés et des questions de sécurité non cryptées. Voici ce que vous pouvez faire maintenant pour vous protéger.

Connectez-vous à votre compte Yahoo

Cela peut sembler évident, mais si vous êtes comme beaucoup de gens, vous n’utilisez peut-être pas Yahoo Mail comme compte de messagerie principal. Yahoo compte 1 milliard d’utilisateurs actifs mensuels sur l’ensemble de ses services et seulement 225 millions d’utilisateurs actifs mensuels pour son service Yahoo Mail, selon les chiffres que la société a donnés à CNET en juin.

Vérifiez donc l’email affilié à votre compte Yahoo si vous ne l’avez pas déjà fait. Yahoo a commencé à envoyer des notifications aux utilisateurs, et vous devriez en recevoir une à ce compte si vous avez été affecté par la violation de données.

Changez votre mot de passe

Si vous n’avez pas changé votre mot de passe depuis quelques années, faites-le — maintenant. La société affirme que les mots de passe que les pirates ont volés étaient cryptés — brouillés avec un outil appelé bcrypt. Ce type de cryptage peut potentiellement être brisé avec suffisamment de persistance, a déclaré Brett McDowell, directeur exécutif de l’Alliance FIDO, un groupe à but non lucratif qui vérifie les systèmes de connexion.

C’est particulièrement vrai « lorsque l’attaquant peut faire des suppositions relativement précises sur ce que le mot de passe pourrait être », a déclaré McDowell. « Les utilisateurs de Yahoo ayant des mots de passe relativement faibles ou évidents devraient prendre les précautions recommandées. »

Je te regarde, « passw0rd ».

Demande-toi : « Ai-je utilisé ce mot de passe ailleurs ? »

C’est une habitude courante. Utiliser le même mot de passe pour beaucoup de comptes différents. Si cette brèche a quelque chose à vous apprendre, c’est que c’est une idée terrible.

Si vous avez recyclé votre mot de passe Yahoo sur un autre compte, allez changer votre mot de passe sur ce compte aussi. Les pirates qui ont votre mot de passe pourraient facilement l’essayer sur tout un tas de sites web différents — pensez aux sites des banques ou des assurances santé — pour essayer d’accéder à des informations au-delà de votre compte Yahoo.

Ne les laissez pas faire.

Changez vos questions et réponses de sécurité — partout

Puisque le piratage a exposé des questions de sécurité qui n’étaient pas cryptées, changez-les. Si vous avez utilisé les mêmes questions de sécurité pour d’autres sites ou services, changez-les aussi. Et si vous n’êtes pas sûr, changez-les quand même.

C’est un casse-tête, mais le faire pourrait vous éviter un énorme désagrément à l’avenir. Les questions de sécurité sont souvent utilisées pour vérifier l’identité et obtenir l’accès au compte, sans l’aide de la vérification par courriel.

Certains experts en sécurité vont jusqu’à vous recommander de créer des réponses aléatoires et uniques à des questions de sécurité comme « Où est née votre mère ? » car, souvent, cette information est facile à découvrir. C’est une attente élevée pour la plupart des gens normaux, alors à la place…

Activer la vérification en deux étapes

Si vous prévoyez de conserver votre compte Yahoo, activez la vérification en deux étapes. C’est l’une des meilleures formes de sécurité de compte largement disponibles sur des sites comme Yahoo. La vérification en deux étapes signifie qu’après vous être connecté avec votre mot de passe (comme d’habitude), Yahoo vous enverra par SMS un code de sécurité, que vous devrez saisir à l’étape suivante.

De cette façon, seule une personne ayant un accès en personne à votre téléphone (vous) peut accéder à votre compte — même si le mot de passe saisi était correct.

Comme pour changer vos questions de sécurité sur tous les services, prenez le temps d’activer la vérification en deux étapes sur d’autres sites Web, comme Facebook, Google, Twitter, etc.

Réfléchissez-y à deux fois avant de supprimer des comptes

Oui, il est tentant de vouloir se laver les mains et de couper les liens avec Yahoo après une violation aussi flagrante. Mais faire cela peut en fait vous ouvrir à des maux de tête supplémentaires en matière de sécurité. C’est parce que la suppression de votre compte permet à Yahoo de recycler votre ancienne adresse e-mail — laissant ainsi quelqu’un spammer tous les sites qu’il peut trouver avec des demandes de « mot de passe oublié » et/ou se faire passer pour vous en utilisant un alias connu (bien que périmé).

Mieux vaut laisser le compte inactif — mais avec la vérification en deux étapes activée.

Originalement publié le 23 septembre 2017.

Mise à jour, le 3 octobre à 19 h 58 PT : ajoute un contexte sur la suppression du compte.

Mise à jour, le 3 oct. 3 à 14h10 PT : Ajoute de nouvelles informations sur le piratage de Yahoo.

iHate : CNET examine comment l’intolérance prend le dessus sur Internet.

C’est compliqué : Voici les rencontres à l’ère des applications. Vous vous amusez déjà ?