Fuite de données pour 92 millions de clients du site de généalogie MyHeritage

Publié le 6 juin 2018

MyHeritage, un site récoltant l’ADN de ses clients pour retracer leurs origines, vient de remarquer un piratage massif d’un de ses fichiers contenant les données de plus de 92 millions de clients.

Merci monsieur le chercheur

La généalogie est un sujet fascinant, c’est pourquoi plusieurs entreprises ont vu le jour, vous proposant de dresser votre arbre généalogique, ou de découvrir, pour quelques dizaines d’euros, ce que votre ADN dit de vous, et pourquoi pas, trouver de nouveaux liens de parenté avec d’autres personnes.

La société a annoncé avant hier (le 4 juin) sur son blog avoir constaté une faille de sécurité. C’est un chercheur en sécurité qui aurait indiqué au responsable de la sécurité informatique de MyHeritage avoir trouvé un fichier haché sur un serveur extérieur à ceux de l’entreprise.

92 millions d’adresse mails volées

Et quelques temps plus tard, MyHeritage confirme : le fichier haché vient bien de leurs serveurs, la société a bien été piratée. La fuite de données n’est pas des moindres : elle concerne exactement 92 283 889 utilisateurs.

Ce nombre renvoie à l’ensemble des utilisateurs inscrit sur MyHeritage de la création de l’entreprise jusqu’au 26 octobre 2017, date à laquelle la violation de serveur a eu lieu. Ce sont les identifiants des utilisateurs qui ont été piratés, c’est-à-dire les adresses électroniques et les mots de passe. 

Les données de 92 millions d’utilisateurs de MyHeritage ont fuité.

MyHeritage préfère prévenir ses utilisateurs : la société ne stocke pas les mots de passe de ses clients, en revanche, elle garde en mémoire un “hachage unidirectionnel” de chaque mot de passe, une sorte de code dans lequel la clé de hachage diffère pour chaque client. Les personnes ayant accès aux mots de passe hachés n’ont donc pas les mots de passe réels.

Un risque de piratage bien réel

D’un côté, MyHeritage a nommé une équipe d’intervention chargée de mener l’enquête pour comprendre quelle(s) faille(s) pourrai(en)t exister dans leurs serveurs et comprendre ce qui s’est passé.

Dans le même temps, l’entreprise souhaite rassurer ses clients, sans pour autant écarter l’idée que d’autres données pourraient avoir fuité : “Nous croyons que l’intrusion est limitée aux adresses électroniques des utilisateurs. Nous n’avons aucune raison de croire que d’autres systèmes MyHeritage ont été compromis.“

L’entreprise spécialisée dans la généalogie affirme ne pas garder d’informations sur les cartes bancaires de sa clientèle, et précise que le piratage implique un seul de ses systèmes, et que les données sensibles des utilisateurs sont stockées dans un serveur séparé incluant des systèmes de sécurité renforcés.

Rassurer les utilisateurs de MyHeritage

D’autres types de données sensibles telles que les arbres généalogiques et les données ADN sont stockées par MyHeritage sur des systèmes séparés, séparés de ceux qui stockent les adresses électroniques, et ils incluent des couches de sécurité supplémentaires.

Pour le moment, aucune raison de penser que les données sensibles des utilisateurs aient subi un piratage.

“Nous n’avons aucune raison de croire que ces systèmes ont été compromis.” est répété à ce sujet, comme si tout soupçon n’avait pas encore été écarté. Des paroles qui ne rassurent donc qu’à moitié, mais il faudra attendre la fin des contrôles exercés par les équipes informatiques pour en obtenir de plus rassurantes.

Pour parer à la fuite connue, MyHeritage conseille de changer son mot de passe pour un nouveau, et prévoit de renforcer l’accès d’authentification en demandant deux moyens d’identification au lieu d’un (par exemple, en s’authentifiant à l’aide d’un smartphone en plus du mot de passe).

Un service client a été mise en place 24H/7j.

Si la généalogie vous intéresse, vous pouvez consulter notre comparatif de logiciels pour réaliser votre arbre généalogique.