Mon héritageune société israélienne de généalogie et de tests ADN, a révélé aujourd’hui qu’un chercheur en sécurité avait trouvé sur Internet un fichier contenant les adresses e-mail et les mots de passe hachés de plus de 92 millions de ses utilisateurs.
MyHeritage dit qu’il n’a aucune raison de croire que les données d’autres utilisateurs ont été compromises, et il exhorte tous les utilisateurs à changer ses mots de passe. Il indique que les données ADN sensibles des clients sont stockées sur des systèmes informatiques distincts de sa base de données d’utilisateurs, et que les mots de passe des utilisateurs ont été «hachés» – ou transformés à travers un modèle mathématique conçu pour les transformer en morceaux uniques de texte charabia qui est (en théorie, au moins) difficile à inverser.
MyHeritage n’a pas dit dans son article de blog quelle méthode il a utilisée pour masquer les mots de passe des utilisateurs, mais a suggéré qu’il avait ajouté une certaine unicité à chaque mot de passe (au-delà du hachage) pour les rendre tous beaucoup plus difficiles à déchiffrer.
« MyHeritage ne stocke pas les mots de passe des utilisateurs, mais plutôt un hachage unidirectionnel de chaque mot de passe, dans lequel la clé de hachage diffère pour chaque client », a écrit Omer Deutsch, responsable de la sécurité de l’information de MyHeritage. « Cela signifie que toute personne ayant accès aux mots de passe hachés n’a pas les mots de passe réels. »
La société a déclaré que le chercheur en sécurité qui a trouvé la base de données des utilisateurs l’a signalé le lundi 4 juin. Le fichier contenait les adresses e-mail et les mots de passe hachés de 92 283 889 utilisateurs qui ont créé des comptes sur MyHeritage jusqu’au 26 octobre 2017 inclus, ce qui, selon MyHeritage, était « la date de l’infraction ».
MyHeritage a ajouté qu’il accélère les travaux sur une prochaine option d’authentification à deux facteurs que la société prévoit de mettre bientôt à la disposition de tous les utilisateurs de MyHeritage.
« Cela permettra aux utilisateurs intéressés à en profiter de s’authentifier à l’aide d’un appareil mobile en plus d’un mot de passe, ce qui renforcera davantage leurs comptes MyHeritage contre les accès illégitimes », conclut le billet de blog.
MyHeritage n’a pas encore répondu aux demandes de commentaires et de précisions sur plusieurs points. Je mettrai à jour ce post si cela change.
ANALYSE
Les assurances répétées de MyHeritage selon lesquelles rien concernant les tests d’ascendance ADN des utilisateurs et les données généalogiques n’ont été impactés par cet incident ne sont pas rassurants. Tout dépend de la force de la routine de hachage utilisée pour masquer les mots de passe des utilisateurs.
Les voleurs peuvent utiliser des outils open source pour déchiffrer un grand nombre de mots de passe brouillés par des algorithmes de hachage plus faibles (MD5 et SHA-1, par exemple) avec très peu d’effort. Les mots de passe mélangés par des méthodes de hachage plus avancées – telles que Bcrypt – sont généralement beaucoup plus difficiles à déchiffrer, mais je m’attendrais à ce que toute victime de violation qui utilisait Bcrypt le divulgue et le désigne comme un facteur atténuant dans un incident de cybersécurité.
Dans son article de blog, MyHeritage indique avoir activé une « clé de hachage » unique pour chaque mot de passe utilisateur. Il semble probable que l’entreprise parle d’ajouter des « sel » à chaque mot de passe, ce qui peut être une méthode très efficace pour atténuer les attaques de craquage de mots de passe à grande échelle (si elles sont correctement mises en œuvre).
Si en effet la base de données des utilisateurs de MyHeritage a été prise et stockée par un pirate informatique malveillant (par opposition à exposée par inadvertance par un employé), il y a de fortes chances que les attaquants essaient de déchiffrer tous les mots de passe des utilisateurs. Et si l’un de ces mots de passe est craquable, les attaquants auront alors bien sûr accès aux données plus personnelles de ces utilisateurs.
À la lumière de cela et de la sensibilité des données impliquées, il semblerait prudent que MyHeritage expire simplement tous les mots de passe existants et force une réinitialisation du mot de passe pour tous les utilisateurs, au lieu de compter sur eux pour le faire eux-mêmes à un moment donné (espérons-le, avant que des attaquants ne découvrent comment déchiffrer les hachages de mot de passe utilisateur).
Enfin, il est étonnant que plus de 92 millions d’utilisateurs aient pensé qu’il était acceptable de protéger ces données sensibles avec juste un nom d’utilisateur et un mot de passe. Et que MyHeritage commence seulement à développer des solutions à deux facteurs.
Nous sommes maintenant en 2018 et l’authentification à deux facteurs n’est en aucun cas une nouvelle technologie de sécurité. Un conseil : si un site Web auquel vous confiez des informations personnelles ou financières sensibles n’offre pas une certaine forme d’authentification multifactorielle, il est temps de faire le tour.
Vérifier 2fa.répertoire, et comparez la position de votre banque, de votre messagerie, de votre hébergement Web/cloud ou de votre fournisseur de nom de domaine par rapport à la concurrence. Si vous trouvez un concurrent offrant une meilleure sécurité, envisagez d’y déplacer vos données et votre entreprise.
Chaque entreprise (y compris MyHeritage) aime à dire que « votre confidentialité et la sécurité de vos données sont notre priorité absolue ». Il est peut-être temps d’arrêter de fréquenter les entreprises qui ne manifestent pas cette priorité.
Pour en savoir plus sur MyHeritage, consultez ceci Reportage de mars 2018 dans L’Atlantique sur la façon dont l’entreprise a récemment tracé un arbre généalogique de 13 millions de personnes.
Mise à jour, 6 juin, 15 h 12 HE : MyHeritage vient de mettre à jour sa déclaration pour dire qu’ils forcent maintenant une réinitialisation du mot de passe pour tous les utilisateurs. Depuis la nouvelle rubrique :
« Pour maximiser la sécurité de nos utilisateurs, nous avons commencé le processus d’expiration de TOUS les mots de passe des utilisateurs sur MyHeritage. Ce processus se déroulera dans les prochains jours. Il inclura les 92,3 millions de comptes d’utilisateurs concernés ainsi que les 4 millions de comptes supplémentaires qui se sont inscrits à MyHeritage après la date de violation du 26 octobre 2017. »
« À l’heure actuelle, nous avons déjà expiré les mots de passe de plus de la moitié des comptes d’utilisateurs sur MyHeritage. Les utilisateurs dont les mots de passe ont expiré sont obligés de définir un nouveau mot de passe et ne pourront pas accéder à leur compte et à leurs données sur MyHeritage tant qu’ils n’auront pas terminé. Cette procédure ne peut être effectuée que par le biais d’un e-mail envoyé à l’adresse e-mail de leur compte sur MyHeritage. Cela rendra plus difficile pour toute personne non autorisée, même quelqu’un qui connaît le mot de passe de l’utilisateur, d’accéder au compte.
« Nous prévoyons d’achever le processus d’expiration de tous les mots de passe dans les prochains jours, auquel cas tous les mots de passe concernés ne seront plus utilisables pour accéder aux comptes et aux données sur MyHeritage. Notez que d’autres sites Web et services détenus et exploités par MyHeritage, tels que Geni.com et Legacy Family Tree, n’ont pas été affectés par l’incident.