Piratage MyHeritage : première violation de données personnelles depuis le RGPD (Analyse de Proofpoint)

1
122
GDPR-RGPD
GDPR-RGPD

MyHeritage, l’un des services de généalogie les plus populaires, vient de déclarer avoir fait l’objet d’un incident majeur de cybersécurité.

Fuites de données concernant des adresses email et mots de passe volés, pas moins de 92 millions de dossiers ont été touchés par cette attaque. A ce jour cependant, aucune indication n’est donnée selon lesquelles les cybercriminels ont exploité les données en question. L’entreprise conseille néanmoins à tous les utilisateurs de changer leur mot de passe.

Suite à cette attaque, Adenike Cosgrove, spécialiste de la cybersécurité EMEA chez Proofpoint déclare :

La violation de données sur MyHeritage marque la première attaque de données personnelles de l’UE depuis la mise en application du RGPD, faisant de cette affaire un cas d’étude à surveiller. Depuis deux ans, des spéculations circulent sur ce qui pourrait se produire dans cette nouvelle ère de conformité réglementaire. 

Bien que la plupart des grandes organisations se soient engagées sur la voie de la conformité, beaucoup attendent d’en voir les résultats concrets. La situation de MyHeritage face aux organismes de réglementation et aux utilisateurs, ainsi que l’enquête en cours sur la cause de cette attaque sont un signe positif plaçant pour le moment l’entreprise au-dessus de tout soupçon. Toutefois, si un seul processus non conforme est mis au jour, la société risque de devenir malgré elle le premier mauvais élève pointé du doigt pour avoir manqué de responsabilité en matière de données à l’ère du RGPD, au risque d’entraîner de lourdes pénalités financières, la perte de confiance des clients, voire un vrai coup de frein pour l’entreprise.

Alors que la source de la brèche est encore inconnue, des questions seront bien sûr posées sur la manière dont des données sensibles telles que l’ADN ont été compromises. Les organisations ont le devoir de s’assurer qu’elles disposent des contrôles techniques et organisationnels nécessaires à la protection de leurs données. De plus, les entreprises confrontées à une atteinte à la protection des données doivent se concentrer sur la communication proactive avec leurs clients et sur les mesures à prendre pour se protéger contre les attaques ultérieures telles que le phishing “.

David Emm, chercheur pour le spécialiste en cybersécurité Kaspersky Lab, explique :

« À l’échelle mondiale, les fuites de données sont devenues une réalité quotidienne. Hier, c’était au tour de MyHeritage d’en faire les frais. Mais l’entreprise n’est pas une victime comme les autres. Alors que de nombreuses entreprises choisissent de taire les faits dans l’espoir de protéger leur réputation, et leur activité, MyHeritage a choisi d’annoncer publiquement et proactivement avoir été touchée par une fuite de données. Et ce quelques heures seulement après la mise au jour de ladite fuite.  Cette annonce a été faite par la voix du Responsable de la sécurité des systèmes d’information (RSSI) de l’entreprise, qui a pris la parole sur le site web pour expliquer aux utilisateurs ce qui avait été découvert, les actions mises en place pour résoudre le problème et préciser la manière dont MyHeritage protège les données qui lui sont confiées.

En cas de fuite de données, le silence de l’entreprise victime accentue encore la vulnérabilité des clients, car ils restent dans l’ignorance des actions qu’ils peuvent mettre en place pour se protéger.

Bien sûr, l’honnêteté de MyHeritage ne change rien au fait que les données sont toujours exposées. C’est d’autant plus inquiétant que l’entreprise détient des informations très personnelles (y compris de l’ADN). Mais la rapidité et l’assertivité de MyHeritage ont permis aux utilisateurs de reprendre en partie le contrôle de leurs données, en changeant leur mot de passe et en surveillant l’activité sur leur compte à la recherche de comportements inattendus et suspicieux.

Il est positif de constater que MyHeritage envisage d’adopter l’authentification à deux facteurs, pour améliorer la sécurité dans ce genre de situation. »

Les conseils de Kaspersky Lab aux utilisateurs de MyHeritage :

  • Changer votre mot de passe et choisir un nouveau mot de passe complexe (pour savoir si vous avez fait le bon choix, faites le test ici)
  • Surveillez l’activité de votre compte à la recherche d’activités suspicieuses
  • Si vous recevez des e-mails qui semblent venir de MyHeritage, ne cliquez sur aucun lien et n’ouvrez pas les pièces jointes qu’ils pourraient contenir. Accédez à votre compte depuis le site de MyHeritage pour consulter vos messages

Selon Bastien Dubuc, Country Manager France, Consumer, chez Avast, bien que MyHeritage indique que les données bancaires et relatives à l’ADN des utilisateurs n’ont pour l’heure pas été compromises, les mots de passe doivent impérativement et immédiatement être changés :

« MyHeritage traite des données sensibles et privées, qui vont potentiellement se retrouver sur le Dark Web si les pirates parviennent à cracker le hash des mots de passe, c’est-à-dire à les déchiffrer. C’est pourquoi les utilisateurs n’ont pas d’autre choix aujourd’hui que de changer au plus vite leurs identifiants afin de se protéger, et d’éviter que d’autres informations plus critiques encore ne soient volées, telles que les informations bancaires, par exemple.

Les clients de la plateforme doivent également surveiller de près leurs emails, leurs réseaux sociaux ainsi que leurs comptes bancaires pour être en mesure de repérer la moindre activité suspecte. Il est par ailleurs capital de ne pas répondre aux emails qui mentionnent l’attaque et indiquent aux utilisateurs les démarches à effectuer s’ils en sont victimes. Le risque que les hackers cherchent à profiter de leur vulnérabilité, pour continuer à exploiter la faille et voler davantage de données, est en effet élevé. Mieux vaut donc se rendre directement sur le site de MyHeritage et suivre les recommandations qui y sont officiellement communiquées.

En ce qui concerne les mots de passe, les combinaisons simples sont à oublier ! Le choix d’une phrase ou d’une série de mots faciles à mémoriser est de rigueur, à modifier ensuite en ajoutant des caractères spéciaux afin de créer des codes secrets uniques et complexes qui comprennent des chiffres et des symboles. L’utilisation de son nom, du prénom de ses enfants et d’informations personnelles de manière générale, ainsi que de mots existants dans le dictionnaire ou encore de formules telles que “mot de passe”, “0000” ou “1234” sont à éviter absolument. De plus, il ne suffira pas de changer une seule fois ses identifiants (mais très régulièrement) pour prévenir d’autres menaces.

Cette nouvelle attaque rappelle que les cybermenaces sont omniprésentes et que les utilisateurs de la plateforme ne doivent pas se croire à l’abri même si leurs informations bancaires et celles relatives à leur ADN ne semblent, pour le moment, pas concernées. Les mesures de sécurité doivent être prises dès maintenant, avant que les hackers n’exploitent les données en question. »

Les commentaires sont fermés.