MyFitnessPal, une application très populaire distribuée par Under Armour et qui propose un suivi de l’alimentation et un compteur de calories gratuit, a été piratée. Si vous êtes l’un des 150 millions d’utilisateurs de cette application ou du site web associé, ne paniquez pas, mais par contre changez votre mot de passe immédiatement !
Si vous utilisez Facebook pour vous connecter à MyFitnessPal, vous n’avez pas besoin de changer votre mot de passe Facebook.
Si vous utilisez votre mot de passe MyFitnessPal sur d’autres sites, changez votre mot de passe sur ces derniers, et n’oubliez pas de choisir un mot de passe différent et fort pour chacun d’entre eux (pensez à utiliser un gestionnaire de mot de passe si les mots de passes utilisés vous semblent trop difficiles à mémoriser).
Under Armour déclare qu’il a informé les utilisateurs de MyFitnessPal de cette violation de données personnelles. Il est possible que des cybercriminels essaient d’en profiter pour envoyer des tweets malveillants ou des emails semblant provenir de Under Armour.
Vous pouvez vous protéger en étant proactif : en effet, lisez l’avis de violation de données émis par Under Armour et consultez la FAQ sur la sécurité de votre compte.
Ne cliquez pas sur les liens envoyés par emails, qui semblent provenir de Under Armour ou de MyFitnessPal. L’entreprise a clairement indiqué qu’elle n’enverrait pas d’emails contenant des liens ou des pièces jointes :
Veuillez noter que l’email de MyFitnessPal, à propos de ce problème, ne vous demandera pas de cliquer sur un lien ou ne contiendra pas de pièces jointes, de plus aucune donnée personnelle ne vous sera demandée. Si l’email que vous avez reçu à propos de ce problème vous invite à cliquer sur un lien, vous suggère de télécharger une pièce jointe ou bien vous demande des informations, alors ce dernier n’aura pas été envoyé par MyFitnessPal.
Si vous devez visiter MyFitnessPal, utilisez un marque-page au niveau de votre navigateur si vous en avez créé un, dans le cas contraire ouvrez votre navigateur et tapez l’adresse : https://www.myfitnesspal.com/, ou encore utilisez simplement l’application sur votre téléphone.
Les mauvaises nouvelles
Le 29 mars 2018, Under Armour a commencé à informer les utilisateurs de MyFitnessPal que l’entreprise avait été victime d’une violation de données au cours du mois précédent (sans plus de précision sur le moment exact) :
Le 25 mars 2018, nous avons appris que, au mois de février de cette même année, un tiers non autorisé avait acquis des données associées aux comptes utilisateurs MyFitnessPal.
Les données concernées sont les identifiants utilisés pour accéder aux comptes MyFitnessPal :
Les données affectées comprenaient les noms d’utilisateur, les adresses email et les mots de passe hachés, la majorité avec la fonction de hachage appelée bcrypt, utilisée pour sécuriser les mots de passe.
Les données concernées n’incluaient pas les identifiants émis par l’Etat (tels que les numéros de sécurité sociale et les numéros de permis de conduire), car nous ne recueillons pas ces informations auprès de nos utilisateurs. Les données de la carte de paiement n’ont pas été affectées car elles sont collectées et traitées séparément.
Les cybercriminels ont donc eu au moins un mois pour envoyer des emails de phishing ciblant MyFitnessPal, pour pirater les hashes des mots de passe volés, et ainsi essayer tous les mots de passe piratés sur d’autres services (tels que les comptes des réseaux sociaux).
C’est pourquoi il est important que vous changiez votre mot de passe sur votre compte MyFitnessPal, et sur tout autre compte utilisant le même mot de passe, et ce sans délai !
Étant donné que les informations à risque peuvent être utilisées pour se connecter à votre compte MyFitnessPal, toutes les données auxquelles vous avez accès lorsque vous vous connectez à votre compte sont également en danger !
MyFitnessPal, qui propose un suivi alimentaire, connaît votre nom, adresse et âge, et suit votre régime et vos entraînements. Ces données, qui peuvent ne pas sembler très importantes (en effet, la perte de ces dernières n’est pas aussi dramatique que la perte de vos coordonnées bancaires, par exemple), mais c’est le type de données qui peut être utilisée pour créer des attaques par ingénierie sociale, comme le phishing, bien plus convaincantes !
Les nouvelles pas si mauvaises
Les personnes, les processus et les logiciels sont imparfaits et les violations de données peuvent arriver à n’importe qui, même à des entreprises qui prennent toutes les précautions pour les éviter.
Les dommages causés par une violation dépendent en grande partie de la façon dont elle a été anticipée, et de la façon dont elle est gérée lorsqu’elle survient.
Il n’est pas rare que d’autres éléments émergent dans les semaines voire les mois qui suivent une violation de données, notamment parce que les entreprises sont toujours en train d’enquêter sur les événements liés à cette dernière, lorsqu’ils avertissent leurs clients pour la première fois.
Concernant cet avertissement, Under Armour semble avoir fait du bon travail :
- La violation a été identifiée plutôt assez rapidement.
- L’avertissement a été émis sans délai, et était clair et direct.
- Les données affectées par cette violation ont une portée limitée.
- La plupart des mots de passe semblent avoir été correctement protégés.
Le stockage des mots de passe est particulièrement important, en hachant vos mots de passe avec bcrypt, MyFitnessPal a mis toutes les chances de votre côté.
Les cybercriminels n’ont pas réellement votre mot de passe en main. En effet, ils ont uniquement un hash de votre mot de passe qui nécessite d’être cassé.
Le cassage coûte de l’argent (car il requiert du temps et de la puissance de calcul) et bcrypt est conçu pour rendre cette opération lourde et fastidieuse.
La capacité de résistance de bcrypt dépend de la façon avec laquelle il a été configuré (notamment le nombre d’itérations qu’il utilise), mais Under Armour n’a pas fourni de détails à ce sujet.
Dean Pierce est un blogueur qui a décidé de s’amuser à casser des hashes qui avaient été divulgués pendant la violation de données d’Ashley Madison. Son expérience est instructive sur la façon dont bcrypt parvient à protéger votre mot de passe, après une violation, si des itérations sont sollicitées.
Pierce a entrepris de casser six millions de hashes en utilisant oclHashcat, qui fonctionne sur une plate-forme bitcoin de mining à 1 500 $ (une installation très efficace pour le craquage des mots de passe).
Après cinq jours et trois heures de calcul continu, il s’est enfin arrêté. Il avait cassé seulement 4 000 des mots de passe les plus mauvais.
Il est fort probable que votre mot de passe MyFitnessPal soit encore inconnu à l’heure actuelle, et ce même s’il a été divulgué il y a plus d’un mois. Ainsi ce que vous faites aujourd’hui a une grande l’importance !
Changez-le maintenant, car vous n’êtes pas seulement en train de sécuriser votre compte, mais vous faites en sorte que le temps et l’argent que les cybercriminels ont investi pour casser votre mot de passe soient définitivement gaspillés !
Billet inspiré de 150 million MyFitnessPal accounts compromised – here’s what to do, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.