Pourquoi MyFitnessPal a-t-il été piraté ? Explication de la violation de 150 millions de comptes

En février 2018, un intrus a pénétré dans les systèmes de MyFitnessPal et a volé les données de compte d'environ 150 millions d'utilisateurs. Noms d'utilisateur, adresses e-mail et mots de passe hachés — tout a été compromis. À l'époque, il s'agissait de l'une des dix plus grandes violations de données de l'histoire. La société n'a découvert la violation qu'en mars 2018, ce qui signifie que les attaquants avaient accès aux données des utilisateurs pendant environ un mois avant que quiconque ne s'en aperçoive.

Si vous avez utilisé MyFitnessPal avant mars 2018, vos données faisaient presque certainement partie de cette violation. Et si vous vous demandez encore pourquoi une application de suivi des calories est devenue la cible de l'un des plus grands piratages jamais enregistrés, la réponse révèle des vérités inconfortables sur la manière dont les applications de santé et de fitness gèrent vos données.

Cet article explique exactement ce qui s'est passé, quelles données ont été exposées, ce qui ne l'a pas été, si MyFitnessPal est sûr à utiliser aujourd'hui, et pourquoi la confidentialité des données de santé devrait être un facteur décisif dans le choix de l'application de nutrition à laquelle vous faites confiance.

Que s'est-il passé lors de la violation de données de MyFitnessPal ?

Voici la chronologie des événements tels qu'ils se sont déroulés :

La violation : Février 2018

À la fin de février 2018, une partie non autorisée a accédé aux données de compte des utilisateurs de MyFitnessPal. La méthode exacte d'intrusion n'a jamais été entièrement divulguée au public. Ce que l'on sait, c'est que l'attaquant a pu extraire un ensemble de données massif contenant des informations de compte pour environ 150 millions d'utilisateurs.

À l'époque, MyFitnessPal appartenait à Under Armour, qui avait acquis l'application en 2015 pour 475 millions de dollars. Under Armour était responsable de la sécurité de l'infrastructure de MyFitnessPal.

Découverte : 25 mars 2018

L'équipe de sécurité de MyFitnessPal a identifié la violation le 25 mars 2018, soit environ quatre semaines après l'intrusion. Un délai de quatre semaines entre la violation et la détection n'est pas inhabituel pour des violations de données de cette ampleur, mais cela signifie que l'attaquant a eu des semaines d'accès non détecté aux données des utilisateurs.

Divulgation publique : 29 mars 2018

Under Armour a divulgué publiquement la violation le 29 mars 2018, seulement quatre jours après l'avoir découverte. L'entreprise a informé les utilisateurs concernés par e-mail et par messages dans l'application, exigeant des réinitialisations de mot de passe pour tous les comptes.

Les conséquences

L'action d'Under Armour a chuté d'environ 3,8 % dans les jours suivant la divulgation. La violation a contribué à accroître les inquiétudes concernant la stratégie numérique de fitness d'Under Armour et les coûts de maintien d'une vaste base d'utilisateurs. Deux ans plus tard, Under Armour a vendu MyFitnessPal à Francisco Partners pour 345 millions de dollars — 130 millions de moins que le prix d'achat initial.

Quelles données ont été exposées lors du piratage de MyFitnessPal ?

Comprendre exactement ce qui a été compromis — et ce qui ne l'a pas été — est essentiel pour évaluer le risque.

Données compromises

• Noms d'utilisateur. Les noms de compte utilisés pour se connecter à MyFitnessPal.
• Adresses e-mail. Les adresses e-mail associées à chaque compte.
• Mots de passe hachés. Les mots de passe n'étaient pas stockés en texte clair. Ils étaient hachés à l'aide de bcrypt, un algorithme de hachage robuste. Cependant, certains mots de passe étaient hachés avec SHA-1, un algorithme plus faible et plus vulnérable au craquage.

Données non compromises (selon Under Armour)

• Informations de paiement. Under Armour a déclaré que les données de carte de paiement n'avaient pas été affectées car elles étaient collectées et traitées séparément.
• Identifiants gouvernementaux. Les numéros de sécurité sociale, les numéros de permis de conduire et d'autres identifiants similaires n'étaient pas stockés par MyFitnessPal et n'ont donc pas été exposés.
• Données de santé détaillées. Under Armour a précisé que la violation concernait les identifiants de compte, et non les données du journal alimentaire, les journaux de poids ou les informations nutritionnelles stockées dans l'application.

Pourquoi cela compte même si "seulement" des e-mails et des mots de passe ont été exposés

Il est tentant de minimiser la violation en la qualifiant de "simplement" des noms d'utilisateur et des mots de passe. Mais l'impact réel de ce type d'exposition de données est significatif :

• Attaques par bourrage d'identifiants. Beaucoup de gens réutilisent des mots de passe sur plusieurs services. Les attaquants qui ont craqué les mots de passe hachés pourraient les utiliser pour accéder à d'autres comptes — e-mail, banque, réseaux sociaux, achats — où la même combinaison e-mail et mot de passe a été utilisée.
• Campagnes de phishing. Avec 150 millions d'adresses e-mail confirmées associées à une application de santé et de fitness, les attaquants disposaient d'une liste ciblée pour des e-mails de phishing liés à la santé, au fitness, aux suppléments et aux régimes. Ces e-mails pouvaient être très convaincants car l'attaquant savait que le destinataire utilisait une application de suivi des calories.
• Données vendues sur le dark web. Les données volées de MyFitnessPal sont apparues sur des marchés du dark web. En 2019, un ensemble de bases de données piratées, y compris les données de MyFitnessPal, a été proposé à la vente pour environ 20 000 dollars en cryptomonnaie.

Pourquoi MyFitnessPal était-il une cible ?

Une application de suivi des calories peut sembler une cible inhabituelle pour les pirates par rapport aux banques ou aux détaillants. Mais il y a des raisons spécifiques pour lesquelles MyFitnessPal était attrayante pour les attaquants.

L'ampleur de la base d'utilisateurs

Avec plus de 150 millions de comptes à l'époque, MyFitnessPal avait l'une des plus grandes bases d'utilisateurs de toutes les applications grand public. Pour les attaquants axés sur le vol d'identifiants, le volume même des combinaisons e-mail et mot de passe en faisait une cible de grande valeur, peu importe ce que faisait l'application elle-même.

Les données de santé ont une valeur unique

Les données de santé et de fitness sont de plus en plus précieuses dans l'économie des données. Les informations sur ce que les gens mangent, combien ils pèsent, leurs objectifs de fitness et leurs habitudes alimentaires peuvent être utilisées pour la publicité ciblée, le profilage d'assurance et l'ingénierie sociale. Bien qu'Under Armour ait déclaré que les données du journal alimentaire n'avaient pas été compromises lors de la violation de 2018, l'existence même d'un vaste référentiel de données de santé fait de la plateforme une cible.

La sécurité n'était pas une priorité

Under Armour était une entreprise de vêtements de sport, pas une société de technologie ou de sécurité. Lorsqu'elle a acquis MyFitnessPal en 2015, l'accent était mis sur la croissance de la base d'utilisateurs et l'intégration de l'application dans l'écosystème de fitness d'Under Armour. L'investissement dans l'infrastructure de sécurité n'était pas une priorité.

L'utilisation de hachage SHA-1 pour certains mots de passe est un détail révélateur. SHA-1 était considéré comme cryptographiquement faible depuis des années avant la violation de 2018. Les meilleures pratiques recommandaient bcrypt ou des algorithmes de hachage forts similaires. Le fait que certains mots de passe de MyFitnessPal aient encore été hachés avec SHA-1 suggère que les mises à jour de sécurité n'étaient pas prioritaires.

La sécurité de MyFitnessPal s'est-elle améliorée depuis la violation ?

C'est la question à laquelle les utilisateurs actuels et potentiels ont le plus besoin de réponse. En résumé : MyFitnessPal a apporté des améliorations, mais l'historique de propriété de l'application et son modèle économique soulèvent des questions persistantes.

Ce qui a changé après la violation

Suite à la violation de 2018, MyFitnessPal a mis en œuvre plusieurs améliorations de sécurité :

• Réinitialisations de mot de passe obligatoires pour tous les comptes concernés
• Surveillance renforcée des accès non autorisés
• Migration vers des algorithmes de hachage plus robustes pour les mots de passe
• L'authentification à deux facteurs a finalement été ajoutée en option

Ce qui n'a pas changé

Malgré ces améliorations, plusieurs préoccupations structurelles demeurent :

• Pas de cryptage de bout en bout pour les données de santé. MyFitnessPal stocke les données du journal alimentaire, les journaux de poids et les informations nutritionnelles sur ses serveurs. Ces données ne sont pas cryptées de bout en bout, ce qui signifie que l'entreprise (et tout attaquant ayant accès au serveur) peut les lire.
• Un nouveau propriétaire avec des priorités différentes. Francisco Partners, la société de capital-investissement qui a acquis MyFitnessPal en 2020, se concentre sur la génération de revenus. L'investissement en sécurité doit rivaliser avec d'autres priorités dans ce modèle.
• Collecte de données axée sur la publicité. Le niveau gratuit de MyFitnessPal est soutenu par la publicité. Les applications soutenues par la publicité ont intrinsèquement tendance à collecter plus de données utilisateur pour servir des publicités ciblées. Plus de collecte de données signifie une surface d'attaque plus large et plus de données à risque en cas de violation potentielle.
• Pas d'audits de sécurité publics. MyFitnessPal ne publie pas les résultats d'audits de sécurité indépendants. Les utilisateurs doivent faire confiance aux affirmations de l'entreprise concernant les améliorations de sécurité sans vérification par des tiers.

Pourquoi la confidentialité des données de santé est-elle importante ?

Si vous suivez ce que vous mangez, combien vous pesez, vos mensurations, vos objectifs de fitness et vos habitudes alimentaires dans une application, vous créez un profil de santé détaillé. Ces données sont plus sensibles que beaucoup de gens ne le réalisent.

Les données de santé sont exceptionnellement personnelles

Votre journal alimentaire révèle bien plus que des comptes de calories. Il révèle des conditions médicales (suivi alimentaire pour la gestion du diabète ou des maladies rénales), des schémas de santé mentale (hyperphagie, restriction, alimentation émotionnelle), un statut reproductif (changements alimentaires liés à la grossesse), des pratiques religieuses (habitudes de jeûne), des informations socio-économiques (les choix alimentaires reflètent le niveau de revenu), et plus encore.

Ce ne sont pas des données que vous souhaitez voir exposées lors d'une violation, vendues à des courtiers en données ou utilisées pour le profilage d'assurance.

La confidentialité des données de santé est une préoccupation légale croissante

Les réglementations sur la confidentialité des données de santé se renforcent dans le monde entier. Le RGPD de l'UE offre de fortes protections pour les données liées à la santé. Aux États-Unis, la HIPAA protège les dossiers médicaux mais ne couvre pas les données saisies volontairement dans des applications grand public comme MyFitnessPal. Cela crée un vide où des informations de santé hautement sensibles ont moins de protections légales que votre dossier médical.

Le modèle économique compte

Comment une entreprise génère des revenus affecte directement la manière dont elle gère vos données. Les applications qui dépendent des revenus publicitaires ont un incitatif financier à collecter autant de données utilisateur que possible et à les partager avec des partenaires publicitaires. Les applications qui reposent sur des abonnements ont un incitatif financier à protéger les données des utilisateurs, car leurs revenus proviennent de la confiance des utilisateurs, et non de la monétisation des données.

Cette distinction est cruciale lors du choix d'une application de santé.

Comment évaluer la sécurité des données d'une application de nutrition

Si la violation de MyFitnessPal vous a fait réfléchir à l'endroit où vous stockez vos données de santé, voici ce qu'il faut rechercher lors de l'évaluation d'alternatives :

Questions clés sur la sécurité et la confidentialité

Facteur	Ce qu'il faut rechercher	Signal d'alerte
Modèle économique	Basé sur l'abonnement, sans publicité	Niveau gratuit soutenu par la publicité avec partage de données
Cryptage des données	Cryptage de bout en bout pour les données de santé	Pas de cryptage ou seulement côté serveur
Politique de confidentialité	Claire, spécifique, facile à lire	Langage vague sur les "partenaires" et "tiers"
Suppression des données	Facilité de suppression permanente de toutes vos données	Pas de processus de suppression clair
Partage avec des tiers	Partage de données minimal ou inexistant	Données partagées avec des annonceurs ou des courtiers
Audits de sécurité	Audits de sécurité indépendants réguliers	Pas d'informations publiques sur les audits
Historique des violations	Antécédents propres ou transparents sur les incidents passés	Historique de violations avec mauvaise divulgation
Localisation des données	Serveurs dans des juridictions avec de fortes lois sur la confidentialité	Aucune information sur la localisation des données

Comment Nutrola aborde la confidentialité des données

Nutrola est construit sur un modèle d'abonnement à partir de 2,50 € par mois, sans aucune publicité sur tous les niveaux de tarification. C'est une différence fondamentale par rapport aux applications soutenues par la publicité comme le niveau gratuit de MyFitnessPal. En l'absence de publicité, il n'y a pas d'incitation à collecter des données utilisateur à des fins publicitaires. Votre journal alimentaire, vos journaux de poids et vos données nutritionnelles existent pour vous servir, et non pour vous profiler à des fins publicitaires.

Nutrola ne vend pas les données des utilisateurs à des tiers. Les revenus de l'application proviennent entièrement des abonnements, ce qui signifie que le modèle économique est aligné sur la confidentialité des utilisateurs plutôt qu'opposé à celle-ci. Lorsqu'une entreprise gagne de l'argent en gardant les utilisateurs heureux et en leur faisant confiance, elle a toutes les raisons de protéger leurs données. Lorsqu'une entreprise gagne de l'argent en monétisant les données des utilisateurs par la publicité, les incitations vont dans la direction opposée.

Comparaison : MyFitnessPal vs Nutrola sur la confidentialité et les fonctionnalités

Facteur	MyFitnessPal	Nutrola
Historique de violation de données majeur	Oui (150 millions de comptes, 2018)	Non
Niveau gratuit soutenu par la publicité	Oui (publicité intensive)	Non (zéro publicité sur tous les niveaux)
Modèle de revenus	Abonnements + publicité	Abonnements uniquement
Prix	Gratuit (limité) / 79,99 $ par an	À partir de 2,50 € par mois
Nutriments suivis	~6 de manière fiable	100+
Base de données alimentaire	Plus de 14 millions d'entrées crowdsourcées	Plus de 1,8 million d'entrées vérifiées
Enregistrement photo par IA	Non	Oui
Enregistrement vocal	Non	Oui
Scan de code-barres	Premium uniquement	Oui (tous les utilisateurs)
Apple Watch + Wear OS	Fonctionnalités de base Apple Watch uniquement	Les deux pris en charge
Importation de recettes	Oui	Oui (avec décomposition nutritionnelle complète)
Langues prises en charge	20+	9

Que devez-vous faire si vos données ont été compromises lors de la violation de MyFitnessPal ?

Si vous aviez un compte MyFitnessPal avant mars 2018, vos données ont probablement été compromises. Voici ce que vous devriez faire si vous ne l'avez pas déjà fait :

1. Changez votre mot de passe MyFitnessPal si vous ne l'avez pas fait depuis la violation. Utilisez un mot de passe fort et unique.
2. Changez les mots de passe de tout autre service où vous avez utilisé la même combinaison e-mail et mot de passe que votre compte MyFitnessPal. C'est l'étape la plus importante pour prévenir les attaques par bourrage d'identifiants.
3. Activez l'authentification à deux facteurs sur MyFitnessPal et sur tous les autres services qui le prennent en charge.
4. Utilisez un gestionnaire de mots de passe pour générer et stocker des mots de passe uniques pour chaque service. Cela garantit qu'une violation d'un service ne compromet pas vos autres comptes.
5. Vérifiez sur haveibeenpwned.com si votre adresse e-mail est apparue dans la violation de MyFitnessPal ou dans toute autre violation de données connue.
6. Soyez sceptique face aux e-mails non sollicités liés au fitness, aux régimes, aux suppléments ou aux applications de santé. Votre adresse e-mail est entre les mains d'attaquants qui savent que vous vous intéressez au suivi de la nutrition.

Questions fréquentes

Quand MyFitnessPal a-t-il été piraté ?

MyFitnessPal a été piraté en février 2018. La violation a été découverte le 25 mars 2018 et divulguée publiquement le 29 mars 2018. Environ 150 millions de comptes d'utilisateurs ont été compromis, ce qui en fait l'une des plus grandes violations de données de l'histoire à l'époque. MyFitnessPal appartenait à Under Armour lors de la violation.

Quelles données ont été volées lors du piratage de MyFitnessPal ?

La violation a exposé les noms d'utilisateur, les adresses e-mail et les mots de passe hachés d'environ 150 millions de comptes. Certains mots de passe étaient hachés avec bcrypt (un algorithme fort) tandis que d'autres utilisaient SHA-1 (un algorithme plus faible). Under Armour a déclaré que les informations de paiement et les données de santé détaillées (journaux alimentaires, journaux de poids) n'avaient pas été compromises.

MyFitnessPal est-il sûr à utiliser en 2026 ?

MyFitnessPal a mis en œuvre des améliorations de sécurité après la violation de 2018, notamment un hachage de mot de passe plus fort et une authentification à deux facteurs en option. Cependant, l'application appartient désormais à une société de capital-investissement, dépend des revenus publicitaires de son niveau gratuit (ce qui incite à la collecte de données) et ne publie pas les résultats d'audits de sécurité indépendants. Que vous le considériez comme "sûr" dépend de votre tolérance personnelle au risque et de la sensibilité que vous accordez à vos données nutritionnelles.

MyFitnessPal a-t-il été piraté plus d'une fois ?

La violation de 2018 est la seule violation majeure de données confirmée publiquement affectant MyFitnessPal. Cependant, les données compromises lors de la violation de 2018 ont ensuite été vendues sur des marchés du dark web et sont apparues dans des collections de dumps d'identifiants qui ont circulé pendant des années après l'incident original.

Comment savoir si mes données MyFitnessPal ont été compromises lors de la violation ?

Si vous aviez un compte MyFitnessPal avant mars 2018, vos données ont presque certainement été affectées — la violation a compromis environ 150 millions des environ 150 millions de comptes existants à l'époque. Vous pouvez vérifier sur haveibeenpwned.com pour confirmer si votre adresse e-mail est apparue dans la violation. MyFitnessPal a également envoyé des notifications par e-mail aux utilisateurs concernés et a exigé des réinitialisations de mot de passe.

Quel traceur de calories est le plus privé et sécurisé ?

Recherchez des applications avec des modèles économiques basés sur des abonnements et sans publicité, car celles-ci ont moins d'incitation à collecter et à monétiser les données des utilisateurs. Nutrola fonctionne sur un modèle d'abonnement à partir de 2,50 € par mois sans aucune publicité sur tous les niveaux, ce qui signifie qu'il n'y a pas de collecte de données axée sur la publicité. L'application ne vend pas les données des utilisateurs à des tiers. Au-delà de la confidentialité, Nutrola propose un enregistrement alimentaire alimenté par IA (photo, voix, code-barres), suit plus de 100 nutriments à partir d'une base de données vérifiée de 1,8 million d'aliments, et prend en charge Apple Watch, Wear OS et neuf langues.