MyFitnessPal : les données de 150 millions d’utilisateurs exposées à la suite d’un piratage
MyFitnessPal : les données de 150 millions d’utilisateurs exposées à la suite d’un piratage
Par Perrine Signoret
Le site, aussi décliné en application, permet de compter le nombre de calories ingérées quotidiennement. Il a été piraté en février.
MyFitnessPal est un site et une application appartenant à l’entreprise Under Armour. / MyFitnessPal
Jeudi 29 mars, les utilisateurs de MyFitnessPal ont eu la mauvaise surprise de recevoir un e-mail d’alerte dans leur boîte de réception. Celui-ci annonçait que leurs données personnelles contenues sur le site ou l’application, qui permettent de suivre son alimentation et compter les calories ingérées au quotidien, avaient été dérobées à la suite d’un piratage. Environ 150 millions de personnes sont concernées selon l’entreprise.
Des mots de passe compromis
Dans ce courriel, Paul Fipps, directeur en charge des technologies chez Under Armour, la maison mère de MyFitnessPal, explique que les informations compromises sont les noms d’utilisateur, les adresses e-mail, et les mots de passe.
« La majorité » des mots de passe étaient « hachés ». Cela signifie qu’ils sont chiffrés, en l’occurrence grâce à une méthode relativement bien sécurisée. En théorie, il est donc impossible de les déchiffrer (et de les utiliser) sans posséder les clés de chiffrement, ainsi que d’autres outils.
En revanche, l’entreprise ne précise pas combien de mots de passe n’étaient pas hachés, et quels utilisateurs pourraient être concernés. Il est de fait recommandé de changer au plus vite son mot de passe sur le site ou l’application. Si ce même mot de passe est utilisé pour un autre compte (boîte e-mail, réseau social, site d’achat en ligne…), mieux vaut le modifier également sur les plates-formes concernées.
L’entreprise assure toutefois que les données bancaires éventuellement renseignées sur MyFitnessPal n’ont pas été piratées.
Les auteurs du piratage non identifiés
Selon Paul Fipps, le piratage a été découvert le 25 mars. Il se serait produit un mois plus tôt, en février.
« Dès que nous en avons pris connaissance, nous avons pris des mesures pour tenter de déterminer la nature et la portée de l’incident. Nous avons travaillé avec des entreprises spécialisées dans la sécurité informatique dans le cadre de cette enquête. Nous avons aussi signalé les faits aux autorités, et nous nous sommes coordonnés avec elles. »
MyFitnessPal dit n’avoir pour l’instant pas pu identifier les auteurs du piratage. L’entreprise avait été rachetée en 2015 par Under Armour, pour 475 millions de dollars, soit environ 385 millions d’euros.