Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

MyHeritage - faille des données de 92M de clients - réaction Istvan Molnar, Balabit/OneIdentité

juin 2018 par Istvan Molnar, expert en conformité chez Balabit, marque de l’éditeur One Identity LLC

Le site web de généalogie et de tests ADN mondialement connu, MyHeritage, a révélé via un article de blog, la fuite des données de 92 millions de ses clients. L’origine de cette fuite remonte à 2017, lorsque des acteurs, toujours inconnus à ce jour, ont exfiltré les emails et mots de passe de l’ensemble des utilisateurs enregistrés sur le site. Aucune information sur les cartes de crédit et aucune donnée génétique ne semble avoir été recueillie.

L’entreprise a expliqué qu’un chercheur en sécurité, dont l’identité n’est pas précisée, avait contacté le site pour alerter sur la présence d’un fichier intitulé « MyHeritage » sur un serveur privé, avec à l’intérieur des millions de courriels et des mots de passe hachés.

Istvan Molnar, expert en conformité chez Balabit, marque de l’éditeur One Identity LLC :

« A chaque jour sa nouvelle faille de données… Ce qu’il est intéressant de noter dans un premier temps dans ce nouveau cas, c’est la façon dont MyHeritage a géré la situation. Le RGPD vient d’entrer en vigueur et MyHeritage a déjà agi conformément à ses lignes directrices en matière de signalement des atteintes à la protection des données. Ils ont rendu l’événement public, car les adresses électroniques peuvent être directement liées aux personnes concernées. Ils ont établi des canaux de communication où les personnes concernées peuvent obtenir des informations sur la faille, et ils ont déjà commencé l’enquête dans le délai de 72 heures.

MyHeritage a également annoncé qu’afin d’augmenter le niveau de sécurité des clients, ils mettront en œuvre des mesures d’authentification forte/multifactorielle. Nous pouvons d’ailleurs souligner que le site avait déjà lancé le déploiement de cette mesure avant la faille et qu’ils avaient déjà pris en compte les risques. Ce que nombre d’entreprises et services en ligne n’ont pas encore mis en œuvre.

Cette mesure de sécurité consiste à demander aux utilisateurs de se connecter via au moins deux modes d’authenfication complémentaires plutôt qu’un seul mot de passe initialement. Nous sommes en 2018 et dans le contexte actuel où les données sont continuellement menacées, cette mesure des plus élémentaires devrait être mise en place par tous. Il incombe d’ailleurs aux utilisateurs d’exiger la mise en place d’une authentification forte et de fuir les sites (banque, etc.) ne la proposant pas !

Mais ce n’est peut-être pas la solution à l’ensemble du problème. MyHeritage a mentionné dans son blog que les seules informations qu’ils stockent eux-mêmes sont des adresses email et les mots de passe hachés, tout le reste étant géré par des tiers. Cela pourrait signifier que l’incident a été causé par un pirate informatique qui a pénétré dans le réseau de MyHeritage en 2017.

Si c’est le cas, l’authentification forte peut ne pas suffire. L’accès aux données personnelles exige déjà une certaine forme de privilèges pour un utilisateur et le RGPD insiste fortement sur le fait que toute personne exposée à des données personnelles au sein d’une organisation devrait être gérée selon le principe de minimisation des données, c’est à dire qu’elle devrait n’avoir accès qu’à la quantité de données personnelles nécessaires à l’exécution de ses tâches quotidiennes. Les expériences passés ont montré dans des cas similaires, que seule une personne ayant des privilèges suffisamment élevés parvenait à avoir accès à cette quantité de données personnelles mais également les transférer vers un système externe. »




Voir les articles précédents

    

Voir les articles suivants