dimanche 9 août 2020
Promotion Meilleur VPN 2020
Accueil Authentification Le piratage MyHeritage souligne l'importance critique de l'authentification forte

Le piratage MyHeritage souligne l’importance critique de l’authentification forte

Au début de ce mois, le site américain Motherboard a révélé que le célèbre site de généalogie et de tests ADN MyHeritage avait subi un piratage de grande ampleur en octobre 2017. Un analyste de sécurité a découvert un fichier à l’extérieur des serveurs de MyHeritage contenant les adresses e-mail et les mots de passe chiffrés de plus de 92 millions de comptes du site.

Tribune par Pascal Le Digol, Country Manager France WatchGuard – D’après une déclaration de MyHeritage, aucune autre donnée n’a été compromise (MyHeritage ne stocke pas elle-même les informations de carte de crédit et conserve les données de test ADN sur un système séparé) et rien n’indique que les auteurs de l’attaque ont utilisé à ce jour les données contenues dans le fichier.

Les mots de passe volés sont chiffrés, et doivent donc être décodés pour pouvoir être utilisés. Ceci veut dire qu’un attaquant pourrait potentiellement essayer de craquer la clé de chiffrement des mots de passe via une attaque par force brute – typiquement en exploitant un dictionnaire de noms combinés avec des chiffres pour générer une clé et en la comparant avec celle de chaque utilisateur pour obtenir son identifiant. Avec ce type d’informations, il pourrait être en mesure de coordonner une campagne de « phishing » ciblant les 92 millions d’emails, aux conséquences potentiellement massives.

Si un attaquant réussissait à obtenir les identifiants d’un petit pourcentage seulement de ces utilisateurs, il pourrait tenter de les utiliser sur différents services où ils pourraient avec un compte avec le même mot de passe. Par exemple, si une personne inscrite chez MyHeritage utilise la même combinaison nom d’utilisateur – mot de passe que sur son compte Amazon, l’attaquant pourrait utiliser ces identifiants pour acheter des produits sur ce compte.

Pour être honnête, MyHeritage a répondu promptement à la notification de l’attaque, et a déjà mis en place une bonne infrastructure de sécurité. Le site a en effet adopté une approche de la sécurité en plusieurs couches – incluant une segmentation réseau pour les données ADN, des systèmes séparés pour les informations de carte de crédit, et le stockage de mots de passe chiffrés avec une clé de chiffrement unique pour chaque client, qui a probablement aidé à réduire l’éventail des données perdues lors de l’attaque.

D’après la déclaration publiée par MyHeritage, la société prévoit d’introduire bientôt une fonction d’authentification en deux étapes pour ses utilisateurs. Cette fonctionnalité aurait pu prévenir l’attaque, et une authentification multi-facteurs (MFA) pourrait aider à prévenir la compromission d’autres comptes des utilisateurs piratés si un attaquant finit par craquer le chiffrement des données volées. Des mots de passe trop simples sont la cause d’une grande partie des vols de données. Devant jongler avec des douzaines de comptes en ligne, peu d’utilisateurs sont capables de respecter en toutes occasions les bonnes pratiques en matière de mots de passe. Et avec la multiplication des attaques recensées exploitant des identifiants utilisateur, l’authentification multi facteurs est un facteur primordial pour empêcher que des informations précédemment volées puissent être réutilisées pour accéder à des données d’entreprise.

Si une entreprise subit un vol de données, voici dans l’ordre trois mesures à prendre sans attendre :

  1. Déterminer comment les données ont été volées, et éliminer rapidement cette vulnérabilité (MyHeritage est probablement en train de travailler là-dessus).
  2. Enjoindre tous les utilisateurs à changer leur mot de passe immédiatement (ce qui pourrait s’avérer inefficace si l’entreprise n’a pas préalablement exécuté la première mesure).
  3. Mettre en place une solution d’authentification multi-facteurs pour tous les utilisateurs, et pour tous types d’accès à ces données (MyHeritage a annoncé avoir pris cette mesure, ce qui est un grand pas en avant).
UnderNewshttps://www.undernews.fr/
Administrateur et fondateur du site UnderNews

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

- Advertisment -Express VPN

Derniers articles

Vacances d’été : profitez-en pour faire du ménage dans votre vie numérique

Après une longue période de confinement, et avant les vacances d’été, c’est le moment idéal pour effectuer un grand nettoyage ! Cela concerne aussi bien nos placards que notre vie numérique. Petit tour d'horizon et conseils pour se débarrasser de vos déchets  numériques.

36% des Millenials se moquent de la sécurité en ligne

La sécurité en ligne s’impose comme le facteur le plus important pour les Millenials lorsqu’on parle d’usages numériques à la maison. Pourtant, si cette...

Le VPN sans logs d’HMA adoubé par VerSprite, société indépendante de conseil en cyber-risque

La politique de non-collecte et de non-conservation des données d’HMA a reçu la meilleure note possible, suite à l’évaluation des facteurs relatifs à la vie privée indépendante.

Nom d’entreprise : comment réussir à trouver le meilleur ?

L’un des plus grands casse-têtes des nouveaux entrepreneurs est de choisir un nom qui accroche et vend en même temps leurs produits ou services. Élément de l’identité individuelle de l’entreprise, il reflète l’originalité et la philosophie de celle-ci. Vous vous demandez comment bien choisir un nom pour votre entreprise ? Voici quelques conseils.