23andMe a récemment révélé une fuite de données au cours de laquelle des pirates informatiques ont accédé sans autorisation à environ 14 000 comptes clients, soit 0,1 % de sa vaste clientèle. Cetdent, révélé début octobre, a mis en lumière l’exploitation d’une technique appelée «dentstuffing », où les pirates infiltrent un compte en utilisant un mot de passe connu, potentiellement divulgué lors d’autres fuites.
23andMe affirme que des pirates informatiques ont accédé à des fichiers concernant l'ascendance de ses utilisateurs.
Les données compromises contenaient des informations sur l'ascendance des 14 000 premiers utilisateurs. Pour certains de ces comptes, des informations de santé basées sur la génétique des utilisateurs ont également été exposées. Cependant, les répercussions vont bien au-delà des clients directement touchés. En effet, la fonctionnalité « Parents ADN » de 23andMe permet aux utilisateurs de partager des informations spécifiques avec d'autres personnes ayant activé cette fonctionnalité, créant ainsi un réseau de profils interconnectés.
Par conséquent, en accédant au compte d'une victime, les pirates pouvaient potentiellement consulter les données personnelles des personnes liées à cette victime initiale. Bien que l'entreprise n'ait pas fourni de chiffres précis au-delà des 14 000 comptes initialement concernés, elle a reconnu qu'un nombre important de fichiers contenant des informations de profil sur l'ascendance d'autres utilisateurs avaient été compromis. Notamment, 23andMe n'a pas répondu aux demandes d'éclaircissements concernant ces chiffres, ce qui a suscité l'inquiétude des utilisateurs quant à l'ampleur de la violation de données.
Suite à cette fuite de données, 23andMe a immédiatement réagi en incitant ses utilisateurs à réinitialiser et à modifier leurs mots de passe. L'entreprise a également préconisé la mise en place de l'authentification multifacteurs, une mesure essentielle pour renforcer la sécurité. Le 6 novembre, elle a adopté une position plus ferme, imposant à tous ses utilisateurs la vérification en deux étapes et renforçant ainsi la protection de leurs comptes. L'analyse des données volées, diffusées ultérieurement sur des forums de piratage, a révélé qu'elles contenaient des informations sur l'ascendance génétique des utilisateurs.
Conséquences de l'attaque et réactions de l'industrie
Certaines données correspondaient à des informations figurant dans des registres généalogiques publics, laissant supposer que ces informations circulaient en ligne depuis des années. La situation a été aggravée par la tentative d'un pirate informatique de vendre les données présumées de millions d'utilisateurs, à des prix allant de 1 à 10 dollars par personne. L'affaire a été révélée au public lorsque des pirates ont mis en vente les données d'un million d'utilisateurs d'origine juive ashkénaze et de 100 000 utilisateurs chinois sur un forum de piratage informatique bien connu.
Par la suite, le même pirate a étendu son offre à quatre millions de dossiers utilisateurs supplémentaires. Plus inquiétant encore, un autre pirate, sur un forum différent, avait précédemment affirmé être en possession de 300 téraoctets de données volées d'utilisateurs de 23andMe, exigeant une somme importante pour la totalité de la base de données ou proposant des sous-ensembles à la vente. Face à cette fuite massive de données, 23andMe a renforcé ses mesures de sécurité. La réinitialisation obligatoire des mots de passe et l'incitation à l'authentification multifacteurs ont constitué les premières étapes pour limiter l'impact de la violation.
La mise en place obligatoire de la vérification en deux étapes visait à renforcer la sécurité des utilisateurs et à prévenir les accès non autorisés. Les répercussions de la faille de sécurité ont dépassé le cadre de l'entreprise. Suite à cet incident, d'autres sociétés de tests ADN, telles qu'Ancestry et MyHeritage, ont également renforcé leurs mesures de sécurité en imposant l'authentification à deux facteurs à leurs utilisateurs. Cet incident dent mis en lumière les défis croissants auxquels sont confrontées les entreprises traitant des données génétiques et personnelles sensibles, soulignant la nécessité de mesures de cybersécurité robustes pour protéger les informations des utilisateurs contre les acteurs malveillants.
