23andMe est une entreprise connue pour ses kits de tests ADN et le traçage générationnel. Mais la firme biotech fait aujourd’hui la une pour une raison moins glorieuse : les données de ses utilisateurs sont en libre circulation sur le marché noir et les forums de hackers. La fuite proviendrait d’une attaque « credential stuffing ». Cette attaque consiste à utiliser les login compromis d’un groupe A, pour les utiliser et tenter une connexion chez un groupe B, ici 23andMe. Les assaillants auraient obtenu des informations très sensibles : tests génétiques, photos, noms complets et adresses, par exemple.
On parle « d’un million de lignes de données sur les ashkénazes » d’après BleepingComputer. Et dès le 4 octobre, ces données étaient vendues en gros. On pouvait les acheter par 100, 1000, 10.000 ou 100.000 profils. On ne sait pas encore à quelle échelle l’attaque a touché l’entreprise. Mais la feature Relatives, qui permet aux membres volontaires de comparer leur ADN pour trouver de la famille plus ou moins éloignée, rend ce vol de données d’autant plus dangereux. Malgré toute la sécurité déployée par 23andMe depuis 2021, on dirait qu’il faudra continuer le travail.
