Des données issues d’une dizaine de sites, hébergeant pour certains des informations sensibles, ont été piratées et mises en lignes sur un site de commerce illégal, a révélé le site spécialisé The Register, lundi 11 février. Au total, ce sont environ 620 millions de comptes sur des plates-formes variées qui sont concernés. Leurs identifiants et leurs mots de passe ont été mis en vente pour l’équivalent de 20 000 euros. Ces données semblent avoir été collectées par un unique pirate ou groupe, majoritairement en 2018. The Register a pu confirmer l’authenticité d’extraits des bases de données mises en vente, qui appartiennent majoritairement à des services américains (ShareThis, Fotolog, CoffeeMeetsBagel…).

Certains des sites concernés sont aussi très utilisés en Europe, comme MyFitnessPal (151 millions de comptes touchés) ou MyHeritage (92 millions de comptes). Les données de ces deux derniers sites sont particulièrement sensibles : les comptes MyFitnessPal, une application qui permet de suivre à la fois son alimentation et sa pratique sportive, recèlent de nombreuses données à caractère médical ou assimilé. Le propriétaire de l’application avait déjà annoncé l’an dernier avoir été touché par un piratage, et avoir notifié les utilisateurs concernés.

Les informations de MyHeritage, qui propose d’analyser l’ADN de ses utilisateurs pour leur donner des informations sur leurs ancêtres, sont encore plus sensibles. L’entreprise, israélienne, avait elle aussi annoncé en 2018 avoir été victime d’un piratage. Les mots de passe contenus dans le fichier qu’a pu consulter The Register sont chiffrés, mais avec un protocole aujourd’hui jugé dépassé et facile à déchiffrer.