L’entreprise israélienne MyHeritage, spécialisée dans la recherche généalogique via l’ADN de ses utilisateurs, a annoncé avoir été victime d’un piratage susceptible d’avoir mis en péril les adresses mails et mots de passe de plus de 92 millions d’utilisateurs. Gérant des données personnelles de citoyens européens, elle s’est conformée à l’obligation d’information du règlement européen sur la protection des données personnelles (RGPD) et pris des mesures de sécurité supplémentaires…
Selon la jeune entreprise, installée en banlieue de Tel Aviv et qui a publié un article sur son blog à propos de cette intrusion, les fichiers visés par le piratage concernent les informations d’utilisateurs inscrits jusqu’au 26 octobre, date de l’attaque. L’origine de cette fuite remonte donc à 2017, lorsque des acteurs, toujours inconnus à ce jour, ont exfiltré les emails et mots de passe de l’ensemble des utilisateurs enregistrés sur le site. C’est un « expert en sécurité » qui aurait informé la société de cette fuite. Aucune information sur les cartes de crédit et aucune donnée génétique ne semble avoir été recueillie.
MyHeritage, informé du piratage le 4 juin, a mis au courant 8 heures plus tard ses utilisateurs ainsi que les autorités concernées, précise l’article. Le groupe affirme avoir agi en conformité avec le Règlement européen pour la protection des données personnes (RGPD), entré en vigueur le 25 mai et qui contraint les entreprises piratées à en informer les autorités dans les 72 heures suivant le piratage et ses clients si les informations extraites lors de l’attaque sont exploitables par les pirates, ce qui est le cas dans cette affaire : les adresses électroniques peuvent être directement liées aux personnes concernées. « Nous pensons que l’intrusion s’est limitée aux adresses mail des utilisateurs, nous n’avons aucune raison de penser qu’un autre système de MyHeritage a été compromis », assure l’entreprise. « Les données sensibles telles que les arbres généalogiques ou les ADN sont stockés sur des systèmes séparés« . le 6 juin, l’entreprise indiquait : « Notre équipe d’intervention en cas d’incident de sécurité de l’information enquête toujours sur cet incident et nous n’avons pas encore de mise à jour concernant la source de la fuite. Nous n’avons pas remarqué d’abus de comptes sur MyHeritage, ni de preuve que les informations divulguées ont été utilisées par des acteurs malveillants. » Parmi les mesures prises par l’entreprise, celle-ci a commencé « à expirer tous les mots de passe des utilisateurs« , ce qui inclut « tous les 92,3 millions de comptes des utilisateurs affectés plus les 4 millions de comptes supplémentaires qui se sont inscrits sur MyHeritage après la date de violation du 26 octobre 2017″. Au 6 juin, plus de la moitié des comptes d’utilisateurs sur MyHeritage ont ainsi expirés.
L’entreprise s’est conformée à l’obligation d’information RGPD
Il s’agit de la première cyberattaque contre une entreprise répertoriée depuis l’entrée en vigueur du RGPD le 25 mai. Si l’entreprise n’est pas installée dans un pays de l’Union européenne, le fait de disposer de données de citoyens européens lui impose d’informer ces derniers dans les plus brefs délais, selon les dispositions du RGPD. Certes l’entreprise s’est conformée à son obligation d’information, mais ses processus de défense sont-ils pour autant suffisants ? Adenike Cosgrove, spécialiste de la cybersécurité EMEA chez Proofpoint indique : « Si un seul processus non conforme est mis au jour, la société risque de devenir malgré elle le premier mauvais élève pointé du doigt pour avoir manqué de responsabilité en matière de données à l’ère du RGPD, au risque d’entraîner de lourdes pénalités financières, la perte de confiance des clients, voire un vrai coup de frein pour l’entreprise. Alors que la source de la brèche est encore inconnue, des questions seront bien sûr posées sur la manière dont des données sensibles telles que l’ADN ont été compromises. Les organisations ont le devoir de s’assurer qu’elles disposent des contrôles techniques et organisationnels nécessaires à la protection de leurs données. De plus, les entreprises confrontées à une atteinte à la protection des données doivent se concentrer sur la communication proactive avec leurs clients et sur les mesures à prendre pour se protéger contre les attaques ultérieures telles que le phishing ».
Pour David Emm, chercheur pour l’éditeur Kaspersky Lab, « l’honnêteté de MyHeritage ne change rien au fait que les données sont toujours exposées. C’est d’autant plus inquiétant que l’entreprise détient des informations très personnelles (y compris de l’ADN). Mais la rapidité et l’assertivité de MyHeritage ont permis aux utilisateurs de reprendre en partie le contrôle de leurs données, en changeant leur mot de passe et en surveillant l’activité sur leur compte à la recherche de comportements inattendus et suspicieux. »
Des mesures d’authentification revues
MyHeritage a également annoncé le 7 juin qu’afin d’augmenter le niveau de sécurité des clients, ils mettaient en œuvre des mesures d’authentification forte/multifactorielle. « Nous avions prévu d’ajouter 2FA sur les comptes de MyHeritage entre juillet et août 2018. Mais à la suite de la récente violation, nous avons promis le 4 juin 2018, que nous allions accélérer le développement de cette fonctionnalité. Nous sommes ravis d’annoncer aujourd’hui, le 7 juin 2018, que nous avons terminé le développement de 2FA pour MyHeritage en un temps record et que nous avons publié sa première implémentation à tous les utilisateurs de MyHeritage« , indique le site. Ce qui semble le moindre des mesures à mettre en place aujourd’hui selon Istvan Molnar, expert en conformité chez Balabit : « Cette mesure de sécurité consiste à demander aux utilisateurs de se connecter via au moins deux modes d’authentification complémentaires plutôt qu’un seul mot de passe initialement. Nous sommes en 2018 et dans le contexte actuel où les données sont continuellement menacées, cette mesure des plus élémentaires devrait être mise en place par tous. Il incombe d’ailleurs aux utilisateurs d’exiger la mise en place d’une authentification forte et de fuir les sites (banque, etc.) ne la proposant pas ! »
Mais ce n’est peut-être pas la solution à l’ensemble du problème, avance-t-il. « MyHeritage a mentionné dans son blog que les seules informations qu’ils stockent eux-mêmes sont des adresses email et les mots de passe hachés, tout le reste étant géré par des tiers. Cela pourrait signifier que l’incident a été causé par un pirate informatique qui a pénétré dans le réseau de MyHeritage en 2017. Si c’est le cas, l’authentification forte peut ne pas suffire. L’accès aux données personnelles exige déjà une certaine forme de privilèges pour un utilisateur et le RGPD insiste fortement sur le fait que toute personne exposée à des données personnelles au sein d’une organisation devrait être gérée selon le principe de minimisation des données, c’est-à-dire qu’elle devrait n’avoir accès qu’à la quantité de données personnelles nécessaires à l’exécution de ses tâches quotidiennes. Les expériences passés ont montré dans des cas similaires que seule une personne ayant des privilèges suffisamment élevés parvenait à avoir accès à cette quantité de données personnelles mais également les transférer vers un système externe. »
