Les e-mails et les empreintes des mots de passe des utilisateurs du service MyHeritage DNA ont été retrouvés sur « un serveur privé ». L’entreprise de test ADN conseille à ses clients de changer immédiatement leurs codes secrets.
Les tests ADN consacrés à la recherche généalogique sont très à la mode, y compris en France. Malheureusement, la sécurité des données des utilisateurs n’est pas forcément à la hauteur des enjeux. L’une des entreprises du secteur, MyHeritage DNA, vient de révéler une énorme fuite de données. Les identifiants de 92 millions d’utilisateurs ont en effet été retrouvés quelque part « sur un serveur privé » par un chercheur en sécurité qui a alerté la société. Il est probable que des utilisateurs français soient également concernés par cet incident car les offres de MyHeritage sont également proposées en France, même si en théorie la vente de tests ADN est interdite dans notre pays.
Cette fuite de données s’est produite le 26 octobre 2017, mais les modalités de cet incident ne sont pas encore connues. On ne sait pas en particulier si les serveurs de MyHeritage ont été piratés ou s’il s’agit de l’action d’une personne interne. L’entreprise souligne que les données ADN ne sont pas touchées, ni les données bancaires. Seuls des identifiants ont été subtilisés, en occurrence des emails et des mots de passe. Ces derniers, explique l’entreprise, ont été « hachés », c’est-à-dire transformés en empreintes cryptographiques à partir desquelles il est théoriquement impossible de retrouver les mots de passes d’origine.
La sécurité des mots de passe n’est pas assurée
Mais un doute persiste sur la solidité de ces empreintes. MyHeritage ne précise pas quelle technique a été utilisée pour hacher ces mots de passe. La société explique seulement que « la clé de hachage est différente pour chaque utilisateur ». Ce qui suggère l’utilisation d’un « sel cryptographique », une technique qui consiste à ajouter aux mots de passe des caractères aléatoires avant de réaliser le calcul de l’empreinte. Cela ralentit les attaques de force brute, mais ce n’est pas toujours suffisant. La sécurité de l’empreinte dépend aussi de l’algorithme utilisé. Malheureusement, cette information n’a pas été donnée par MyHeritage. Les utilisateurs ont donc tout intérêt à changer leurs mots de passe le plus rapidement possible.
Histoire de rassurer ses utilisateurs, MyHeritage précise qu’une option de double authentification sera bientôt disponible. C’est bien car cela renforce la procédure d’authentification et limite le risque en cas de perte d’un mot de passe. Néanmoins, cela ne met pas l’entreprise à l’abri d’un piratage de ses bases de données ADN. Dans son communiqué, elle souligne que celles-ci sont stockées « sur des systèmes séparés » bénéficiant de « couches de sécurité additionnelles ». Espérons que cela soit vrai.
Les tests ADN ont récemment fait couler beaucoup d’encre suite à la résolution d’une affaire de meurtre aux Etats-Unis. Pour identifier l’assassin, les forces de police se seraient appuyées sur une base de données ADN open source appelée GEDmatch.