MyHeritage : quelqu'un a volé 92 millions de comptes au site de tests ADN

Lundi 4 juin, un chercheur en sécurité a découvert des dizaines de millions de détails de comptes utilisateurs récents du site, adresses email et mots de passe cryptés inclus.

|
juil. 5 2018, 12:27pm

Image : MyHeritage

Lorsqu'on s'abonne à un site manipulant des informations confidentielles, un service médical ou un réseau social par exemple, on espère toujours que le site en question a la capacité de protéger les données de ses utilisateurs. Malheureusement pour les clients de MyHeritage, un service de généalogie et de tests ADN, un chercheur a découvert 92 millions de détails de comptes relatifs à l’entreprise sur un serveur, selon un un communiqué de l'entreprise.

Les données sont celles d’utilisateurs s'étant abonnés à MyHeritage jusqu’au 26 octobre 2017 inclus — la date de l'intrusion — confirme la déclaration.

Les utilisateurs de l’entreprise israélienne peuvent créer des arbres généalogiques et effectuer des recherches dans les archives historiques pour essayer de découvrir leurs ancêtres. En janvier 2017, un média israélien a rapporté que 35 millions d’arbres généalogiques se trouvaient sur le site.

En tout, l'intrusion a affecté 92 283 889 utilisateurs, selon les informations de MyHeritage.

MyHeritage explique dans son communiqué que son responsable de la sécurité des systèmes d'information a « reçu un message d’un chercheur en sécurité affirmant qu’il avait trouvé un fichier appelé myheritage, dans lequel se trouvaient les adresses email et des mots de passe cryptés sur un serveur privé n'appartenant pas à MyHeritage ». Les mots de passe hachés sont des représentations cryptographiques de mots de passe, ce qui signifie que les entreprises n’ont pas à stocker le mot de passe lisible et réel. Néanmoins, il arrive que les hackers parviennent à craquer ces mots de passe — tout dépend de l’algorithme utilisé.

MyHeritage assure que « le hachage est différent pour chaque client », ce qui suggère que l’entreprise utilise le salage, une valeur unique ajoutée au mot de passe avant le hachage pour qu’il soit plus résistant au piratage.

Sur son site web, MyHeritage déclare « votre confidentialité et la sécurité de vos données sont aussi importantes pour nous que pour vous. Nous avons effectué des investissements importants pour garantir que votre compte et vos données personnelles sont sécurisées et protégées par plusieurs couches de cryptage. Tous les tests sont conduits dans notre laboratoire certifié CLIA et accrédité CAP aux États-Unis. »

MyHeritage assure qu’il n’y a aucune raison de penser que d’autres données utilisateurs ont été compromises. Selon elle, les informations de carte de crédit des clients sont traitées par des tiers comme PayPal, et l’ADN des utilisateurs est stocké sur des systèmes séparés de ceux contenant les adresses email.

Moralité : bien qu’il semble que les hackers n’aient pas eu accès aux comptes de MyHeritage directement, rappelez-vous de ne pas utiliser le même mot de passe sur tous les sites et services que vous fréquentez. MyHeritage explique dans son communiqué qu’elle allait établir une double authentification à double facteur pour tous les utilisateurs ; si vous craignez que quelqu’un accède à vos données MyHeritage à l’avenir, cette nouvelle fonction devrait vous rassurer.