MyHeritage : faille des données de 92M de clients

0

A chaque jour sa nouvelle faille de données… Ce qu’il est intéressant de noter dans un premier temps dans ce nouveau cas, c’est la façon dont MyHeritage a géré la situation. Le RGPD vient d’entrer en vigueur et MyHeritage a déjà agi conformément à ses lignes directrices en matière de signalement des atteintes à la protection des données. Ils ont rendu l’événement public, car les adresses électroniques peuvent être directement liées aux personnes concernées. Ils ont établi des canaux de communication où les personnes concernées peuvent obtenir des informations sur la faille, et ils ont déjà commencé l’enquête dans le délai de 72 heures.

MyHeritage a également annoncé qu’afin d’augmenter le niveau de sécurité des clients, ils mettront en œuvre des mesures d’authentification forte/multifactorielle. Nous pouvons d’ailleurs souligner que le site avait déjà lancé le déploiement de cette mesure avant la faille et qu’ils avaient déjà pris en compte les risques. Ce que nombre d’entreprises et services en ligne n’ont pas encore mis en œuvre.

Cette mesure de sécurité consiste à demander aux utilisateurs de se connecter via au moins deux modes d’authenfication complémentaires plutôt qu’un seul mot de passe initialement. Nous sommes en 2018 et dans le contexte actuel où les données sont continuellement menacées, cette mesure des plus élémentaires devrait être mise en place par tous. Il incombe d’ailleurs aux utilisateurs d’exiger la mise en place d’une authentification forte et de fuir les sites (banque, etc.) ne la proposant pas !

Mais ce n’est peut-être pas la solution à l’ensemble du problème. MyHeritage a mentionné dans son blog que les seules informations qu’ils stockent eux-mêmes sont des adresses email et les mots de passe hachés, tout le reste étant géré par des tiers. Cela pourrait signifier que l’incident a été causé par un pirate informatique qui a pénétré dans le réseau de MyHeritage en 2017.

Si c’est le cas, l’authentification forte peut ne pas suffire. L’accès aux données personnelles exige déjà une certaine forme de privilèges pour un utilisateur et le RGPD insiste fortement sur le fait que toute personne exposée à des données personnelles au sein d’une organisation devrait être gérée selon le principe de minimisation des données, c’est à dire qu’elle devrait n’avoir accès qu’à la quantité de données personnelles nécessaires à l’exécution de ses tâches quotidiennes.

Les expériences passés ont montré dans des cas similaires, que seule une personne ayant des privilèges suffisamment élevés parvenait à avoir accès à cette quantité de données personnelles mais également les transférer vers un système externe.

About Author

István Molnár

Spécialiste conformité chez Balabit

Leave A Reply