Une cyberattaque massive chez 23andMe, société spécialisée dans les tests génétiques, a conduit à l'exposition des données de près de 7 millions d'utilisateurs. Ces informations extrêmement sensibles, incluant des détails sur les origines ethniques et la santé, sont désormais en vente sur le dark web, soulevant de graves préoccupations en matière de sécurité et d'éthique.

Ce cas met en lumière la grande vulnérabilité des données personnelles les plus intimes que nous confions aux acteurs de la tech. © Shutterstock
Ce cas met en lumière la grande vulnérabilité des données personnelles les plus intimes que nous confions aux acteurs de la tech. © Shutterstock

L'incident, qui s'est déroulé en 2023, révèle aujourd'hui toute son ampleur, touchant près de la moitié de la base de clients de l'entreprise américaine. Cette fuite intervient dans un contexte déjà difficile pour la société, qui fait face à d'importantes turbulences financières.

Une faille de sécurité aux conséquences dévastatrices

Contrairement à ce que l'on pourrait penser, les pirates n'ont pas directement forcé les systèmes de 23andMe. Ils ont utilisé une technique connue sous le nom de credential stuffing, ou bourrage d'identifiants. Cette méthode consiste à utiliser des listes de noms d'utilisateurs et de mots de passe volés lors de précédentes fuites de données sur d'autres sites web, en pariant sur le fait que les utilisateurs réemploient les mêmes identifiants sur plusieurs plateformes.

L'attaque a été facilitée par des mesures de sécurité jugées insuffisantes de la part de l'entreprise. L'absence d'authentification à plusieurs facteurs obligatoire a ainsi créé une brèche que les attaquants n'ont pas manqué d'exploiter pour accéder à un premier groupe de comptes. Dans un premier temps, 23andMe a d'ailleurs reporté la responsabilité sur les utilisateurs eux-mêmes, leur reprochant de ne pas avoir utilisé des mots de passe uniques et robustes.

L'intrusion initiale ne concernait directement qu'un nombre limité de comptes, environ 14 000 au total. Cependant, l'impact a été démultiplié par une fonctionnalité opt-in baptisée « DNA Relatives ». Conçue pour permettre aux utilisateurs de retrouver des parents potentiels, cette option a permis aux pirates, une fois connectés à un profil, d'aspirer les informations de tous les membres qui y étaient liés.

Un kit de prélèvement de salive 23andMe. © Shutterstock
Un kit de prélèvement de salive 23andMe. © Shutterstock

C'est ainsi qu'une faille touchant 0,1 % des comptes a entraîné la compromission des données de 6,9 millions de personnes. Cette réaction en chaîne illustre les risques inhérents aux fonctionnalités de partage sur les plateformes qui gèrent des informations aussi personnelles. La nature interconnectée du service a transformé une intrusion ciblée en une fuite de données à très grande échelle.

Des sanctions et un avenir très incertain

Les données volées n'ont pas tardé à faire leur apparition sur des forums de pirates. Les hackers ont mis en vente ces informations, avec des prix allant de 1 à 10 dollars par profil. Plus inquiétant encore, les données ont été compilées et triées pour créer des listes spécifiques, ciblant notamment les utilisateurs d'origine juive ashkénaze ou chinoise.

Cette segmentation a fait naître des craintes légitimes quant à une possible utilisation de ces fichiers à des fins malveillantes, de discrimination ou de harcèlement ciblé. L'un des pirates, connu sous le pseudonyme de Golem, s'est même vanté de détenir des informations sur des personnes parmi « les plus riches vivant aux États-Unis et en Europe de l'Ouest ». Les informations exposées comprennent les noms, dates de naissance, localisations géographiques, photos de profil et résultats d'ascendance génétique.

Face à la gravité de la situation, les autorités de régulation ont réagi. L'Information Commissioner's Office (ICO), l'équivalent de la CNIL au Royaume-Uni, a infligé à 23andMe une amende de 2,31 millions de livres sterling. Le régulateur a fustigé des « défaillances élémentaires » en matière de sécurité et une réaction trop lente de l'entreprise après la découverte de l'attaque.

Cette fuite massive vient s'ajouter aux difficultés que connaît l'entreprise, qui s'est récemment placée sous la protection de la loi américaine sur les faillites. Cette situation précaire soulève une question cruciale, déjà évoquée par le passé : qu'adviendra-t-il des précieuses données génétiques collectées auprès de millions de clients ? L'incertitude est telle que le procureur général de Californie a conseillé aux clients de supprimer leurs données du service.

Source : MakeUseOf

À découvrir
Voici les meilleurs antivirus au premier semestre 2025

17 juin 2025 à 08h25

News