in

Le piratage MyHeritage souligne l’importance critique de l’authentification forte – Par Pascal Le Digol, WatchGuard

Au début de ce mois, le site américain Motherboard a révélé que le célèbre site de généalogie et de tests ADN MyHeritage avait subi un piratage de grande ampleur en Octobre 2017. Un analyste de sécurité a découvert un fichier à l’extérieur des serveurs de MyHeritage contenant les adresses email et les mots de passe cryptés de plus de 92 millions de comptes du site. D’après une déclaration de MyHeritage, aucune autre donnée n’a été compromise (MyHeritage ne stocke pas elle-même les informations de carte de crédit et conserve les données de test ADN sur un système séparé) et rien n’indique que les auteurs de l’attaque ont utilisé à ce jour les données contenues dans le fichier.

Les mots de passe volés sont chiffrés, et doivent donc être décodés pour pouvoir être utilisés. Ceci veut dire qu’un attaquant pourrait potentiellement essayer de craquer la clé de chiffrement des mots de passe via une attaque par force brute – typiquement en exploitant un dictionnaire de noms combinés avec des chiffres pour générer une clé et en la comparant avec celle de chaque utilisateur pour obtenir son identifiant. Avec ce type d’informations, il pourrait être en mesure de coordonner une campagne de « phishing » ciblant les 92 millions d’emails, aux conséquences potentiellement massives.

Si un attaquant réussissait à obtenir les identifiants d’un petit pourcentage seulement de ces utilisateurs, il pourrait tenter de les utiliser sur différents services où ils pourraient avec un compte avec le même mot de passe. Par exemple, si une personne inscrite chez MyHeritage utilise la même combinaison nom d’utilisateur – mot de passe que sur son compte Amazon, l’attaquant pourrait utiliser ces identifiants pour acheter des produits sur ce compte.

Pour être honnête, MyHeritage a répondu promptement à la notification de l’attaque, et a déjà mis en place une bonne infrastructure de sécurité. Le site a en effet adopté une approche de la sécurité en plusieurs couches – incluant une segmentation réseau pour les données ADN, des systèmes séparés pour les informations de carte de crédit, et le stockage de mots de passe chiffrés avec une clé de chiffrement unique pour chaque client, qui a probablement aidé à réduire l’éventail des données perdues lors de l’attaque.

D’après la déclaration publiée par MyHeritage, la société prévoit d’introduire bientôt une fonction d’authentification en deux étapes pour ses utilisateurs. Cette fonctionnalité aurait pu prévenir l’attaque, et une authentification multi facteurs (MFA) pourrait aider à prévenir la compromission d’autres comptes des utilisateurs piratés si un attaquant finit par craquer le chiffrement des données volées. Des mots de passe trop simples sont la cause d’une grande partie des vols de données. Devant jongler avec des douzaines de comptes en ligne, peu d’utilisateurs sont capables de respecter en toutes occasions les bonnes pratiques en matière de mots de passe. Et avec la multiplication des attaques recensées exploitant des identifiants utilisateur, l’authentification multi facteurs est un facteur primordial pour empêcher que des informations précédemment volées puissent être réutilisées pour accéder à des données d’entreprise.

Si une entreprise subit un vol de données, voici dans l’ordre trois mesures à prendre sans attendre.

  1. Déterminer comment les données ont été volées, et éliminer rapidement cette vulnérabilité (MyHeritage est probablement en train de travailler là-dessus).
  2. Enjoindre tous les utilisateurs à changer leur mot de passe immédiatement (ce qui pourrait s’avérer inefficace si l’entreprise n’a pas préalablement exécuté la première mesure).
  3. Mettre en place une solution d’authentification multi facteurs pour tous les utilisateurs, et pour tous types d’accès à ces données (MyHeritage a annoncé avoir pris cette mesure, ce qui est un grand pas en avant).

Pascal Le Digol, Country Manager France WatchGuard

Morgane
Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.

Written by Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.