Incident de cybersécurité : mise à jour du 10 juin

Ceci est une mise à jour concernant la violation de données qui a affecté MyHeritage, et que nous avons signalé pour la première fois le 4 juin, et mise à jour ensuite. Un fichier avec des adresses email et des mots de passe hachés (ce ne sont pas des mots de passe complets) de 92,3 millions d’utilisateurs de MyHeritage a été trouvé par un chercheur en sécurité sur un serveur privé sur Internet. Ce chercheur l’a ensuite signalé au Chef de la sécurité de l’information de MyHeritage. MyHeritage a immédiatement signalé la violation et pris des mesures pour remédier à la situation, décrites dans les liens du blog ci-dessus et expliquées plus en détail dans cette mise à jour.

Dès le 7 juin, nous avons commencé à envoyer un email à nos utilisateurs, individuellement, pour les informer de l’incident et leur demander de changer leur mot de passe sur MyHeritage par précaution. Nous recommandons également à tous ceux qui utilisent le même mot de passe sur plusieurs sites Web (ce qui est une mauvaise pratique) de changer leur mot de passe sur ces sites. C’est une précaution de sécurité basique ; Il est plus sûr d’avoir un mot de passe unique sur chaque service que vous utilisez.

Dans l’email envoyé à nos utilisateurs, nous recommandons également d’activer l’authentification à deux facteurs. Ceci est une couche importante pour sécuriser les comptes sur MyHeritage ;  nous l’avons publiée le 6 juin. Lorsque cette option est activée, elle peut sécuriser votre compte contre les accès non autorisés, même si quelqu’un d’autre connaît votre mot de passe. Avec l’authentification à deux facteurs, vous désignez un téléphone portable et le liez à votre compte en fournissant le numéro à MyHeritage. Ensuite, à chaque fois que vous vous connectez sur MyHeritage à partir d’un nouvel ordinateur, tablette ou téléphone, ou si un mois s’est écoulé depuis votre dernière connexion, MyHeritage envoie un code de vérification à six chiffres sous la forme d’un SMS sur votre téléphone mobile, que vous devez saisir sur MyHeritage pour vous connecter. Pour plus de détails et pour savoir comment l’activer, consultez notre annonce. Des milliers d’utilisateurs ont déjà activé l’authentification à deux facteurs et bénéficient de cette protection pour leurs comptes, et nous espérons que d’autres utilisateurs feront de même.

C’est un long processus que de contacter un si grand nombre d’utilisateurs par email à propos de l’incident. Si vous êtes un utilisateur de MyHeritage et que vous n’avez pas encore reçu l’email, soyez patient, vous le recevrez bientôt.

Le 5 juin, nous avons commencé à expirer tous les mots de passe sur MyHeritage et nous l’avons fait désormais pour tous les comptes. Toute personne se connectant sur MyHeritage avec un mot de passe expiré devra définir un nouveau mot de passe, un processus qui inclut un email envoyé à l’adresse email de l’utilisateur pour s’assurer que même si l’ancien mot de passe est compromis, personne excepté l’utilisateur peut définir un nouveau mot de passe et accéder au compte.

Nous prenons des mesures supplémentaires pour renforcer la sécurité des comptes sur MyHeritage. Ces étapes peuvent causer des désagréments à nos utilisateurs. Par exemple, les utilisateurs qui se sont connectés automatiquement au site Web pendant une longue période, et qui ne se sont jamais déconnectés et reconnectés, devront définir un nouveau mot de passe et se reconnecter plus fréquemment. Cette sécurité supplémentaire en vaut la peine.

Pour rappel, les utilisateurs de MyHeritage qui ont des questions ou des préoccupations à propos de cet incident sont invités à contacter notre équipe sécurité du support par email à privacy@myheritage.com ou par téléphone via le numéro gratuit (USA) +1 888 672 2875, disponible 24/7. Nous avons recruté 40 personnes supplémentaires à temps plein qui vont se joindre dès demain à notre équipe support 24 heures sur 24, 7 jours sur 7, pour nous aider à faire face aux besoins accrus de soutien à la clientèle. Nous prévoyons qu’il y aura un temps d’attente plus long sur les lignes téléphoniques. Si vous appelez et que vous trouvez une longue file d’attente, veuillez laisser un message vocal et nous vous rappellerons dès que possible. La majorité des utilisateurs qui ont contacté le support jusqu’ici ont été très compréhensifs et l’ont fait pour demander de l’aide pour la création d’un nouveau mot de passe ou l’ajout de l’authentification à deux facteurs.

Résumé

Nous sommes désolés pour la violation. Ce sont de mauvaises nouvelles. Mais il n’y a aucune preuve que quelque chose a fui au-delà des adresses email et des mots de passe hachés, qui ne sont pas des mots de passe complets, et il n’y a aucune preuve d’accès non autorisé aux comptes d’utilisateurs et aux données sur MyHeritage. Les données ADN sont protégées par des couches de sécurité supplémentaires et ne résident pas sur le même système qui stocke les informations d’identification de l’utilisateur. Un utilisateur peut télécharger ses propres données ADN, mais la procédure ne nécessite pas seulement une saisie du mot de passe, mais également une autorisation via la boîte email de l’utilisateur, ce que même une personne qui connaît votre mot de passe ne peut faire. Nos statistiques internes n’ont montré aucune augmentation des téléchargements de données ADN au cours de la dernière année. Les anciens mots de passe ont expiré et ne peuvent plus être utilisés pour accéder aux comptes. L’authentification à deux facteurs est désormais disponible pour sécuriser davantage votre compte. Ceci n’est pas disponible sur les autres principaux sites d’ADN et de généalogie.

En résumé, nous espérons que ces mesures montrent à nos utilisateurs notre engagement envers la confidentialité et la sécurité de leurs données, et nous sommes convaincus que cet incident permettra à MyHeritage de devenir encore plus sûr.

Nous remercions nos utilisateurs pour leur confiance et continuerons à vous tenir au courant de la situation.

L’équipe de MyHeritage