Le géant américain du test ADN commercial a admis auprès des autorités américaines que les données dérobées par des hackers pouvaient comprendre des informations génétiques.

L’entreprise de test ADN 23andMe a signalé aux autorités américaines, à la fin de ce mois de janvier 2024, que des hackers ont pu dérober des données génétiques envoyées par les clients.

Pendant près de cinq mois, entre avril et septembre, les pirates ont mené des attaques sur des millions de comptes, récupérant les informations à l’insu de l’entreprise. Les cybercriminels ont utilisé la méthode dite de « brute force », un mode opératoire assez classique qui permet de tester des milliards de mots de passe. Ils ont également pu réutiliser des identifiants issus de précédentes fuites.

Au total, 6,9 millions d’utilisateurs, soit la moitié des clients, seraient concernées par cette fuite. Une partie de la base de données est en ligne depuis l’automne 2023 sur un forum de hackers. Les infos récupérées peuvent être les suivantes :

  • Origine et segments d’ADN correspondants (en particulier la région où la personne et ses parents ont un ADN correspondant),
  • Localisation déclarée par le client (ville/code postal),
  • Les lieux de naissance et les noms de famille des ancêtres,
  • La photo de profil, le nom et tout autre élément d’identité.
La fuite de données sur un forum de hackers // Source : Numerama
La fuite de données sur un forum de hackers. // Source : Numerama

De nombreuses données issues de la communauté juive

Le 10 octobre, environ une semaine après avoir détecté l’attaque, 23andMe a commencé à demander à tous ses clients de réinitialiser leurs mots de passe. Pour l’instant, les informations divulguées suggèrent que les données d’au moins un million de juifs ashkénazes et 4,1 millions de personnes vivant au Royaume-Uni, ont été exfiltrées.

L’entreprise a été attaquée en justice par de nombreux clients. 23andMe se défend et déclare dans l’un des procès : « Les utilisateurs ont négligemment recyclé et omis de mettre à jour leurs mots de passe à la suite d’incidents de sécurité passés, qui ne sont pas liés à 23andMe. » Au-delà de cette affirmation audacieuse qui semble omettre les règles de protection des données qui incombent à une entreprise, il est toujours bon de vérifier si vos données ne sont pas en ligne grâce à plusieurs sites gratuits.

une comparateur meilleur gestionnaire mdp numerama

Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !