Bienvenue dans l’affaire 23andMe — ou comment une entreprise censée manier les données les plus sensibles possibles(spoiler : ton génome) a réussi l’exploit de les exposer comme un compte MySpace en 2006.
Ah, les joies de la génétique grand public ! Pour moins de 100 euros, on t’analyse ta salive, on te fait croire que tu es 12,4 % viking et 3,7 % égyptien, et en bonus, on file ton ADN aux cybercriminels.
🎬 Résumé de l’épisode : “Génétique, fuites et négligence”
Nous sommes en 2023. 23andMe, célèbre pour ses tests ADN à domicile, subit une attaque. Mais attention, pas une attaque ultra-sophistiquée menée par un APT sponsorisé par un État. Non, non.
Un simple credential stuffing. C’est-à-dire ? Des pirates ont utilisé des identifiants réutilisés (volés ailleurs, hein, pas chez eux) pour se connecter à des comptes 23andMe. Et une fois dedans, ils ont profité d’une fonctionnalité bien pratique : l’arbre généalogique.
En un clic, on accède non seulement à ses propres infos ADN, mais aussi à celles de ses correspondants génétiques. En clair : un compte compromis = des dizaines de profils exposés.
Résultat : 4,1 millions de profils dans la nature, dont plus d’un million de personnes d’origine juive ashkénaze. Sympa, non ?
🏴☠️ La sécurité selon 23andMe : optionnelle, comme les serviettes en papier
L’ICO (le régulateur britannique) vient donc de condamner 23andMe à une amende de £2,31 millions. Pourquoi ? Parce qu’on parle là de failles de sécurité dignes d’un blog WordPress de 2009 :
- Pas d’authentification multifacteur obligatoire.
- Des mots de passe faibles tolérés.
- Aucune alerte sérieuse déclenchée malgré l’activité suspecte.
- Une communication quasi inexistante avec les utilisateurs pendant des mois.
L’entreprise n’a commencé à prendre le problème au sérieux qu’en octobre, après que des données ont été revendues sur Reddit et BreachForums. Reddit. Le bar de fin de soirée d’Internet.
🧬 L’ADN : cette donnée qu’on ne peut pas réinitialiser
Contrairement à ton mot de passe ou à ta CB, ton ADN est immuable. C’est littéralement toi. Et le bonus ? Ces données ne concernent pas seulement toi, mais aussi ta famille. Tes enfants. Tes petits-enfants. Tes cousins éloignés au Texas.
C’est comme si tu publiais ton arbre généalogique et tes prédispositions médicales en open source, sans même t’en rendre compte.
Et pendant ce temps, 23andMe continuait à proposer des rapports de santé, des estimations de longévité, des liens familiaux… Tout ça sans prévenir les utilisateurs que leur profil servait peut-être déjà de cobaye dans un laboratoire d’ingénierie sociale.
🎁 Ce que les hackers ont reçu gratuitement
Voici une petite fiche cadeau type que les pirates ont pu obtenir :
- Nom, prénom, date de naissance
- Adresse e‑mail
- Localisation
- Origine ethnique
- Arbre généalogique complet
- Données de santé
- Données brutes ADN
Bonus : avec suffisamment de profils croisés, on peut reconstituer des familles entières. Une mine d’or pour le phishing, l’usurpation, la manipulation ou… la discrimination génétique (hello assurances privées).
🏛️ L’ICO punit, les victimes trinquent
L’ironie, c’est que l’amende infligée par le régulateur britannique va à l’État, pas aux victimes. Pendant ce temps, aux États‑Unis, une class action a débouché sur un dédommagement de 30 millions de dollars. Ce qui reste ridicule quand on compare ça au préjudice de “votre génome en libre accès pour l’éternité”.
🤦♂️ Leçon de morale (façon cours du soir pour CEO inattentif)
Ce n’est pas la première fois qu’on vous le dit sur SecuSlice :
- On a déjà parlé des fuites chez T-Mobile, des bases ouvertes d’Elasticsearch ou du Shadow IT version ChatGPT.
- Mais là, on touche un nouveau niveau : la fuite de ce que vous êtes.
- Pas ce que vous possédez. Pas ce que vous faites. Mais ce que vous êtes biologiquement.
Et pour ça, pas besoin d’un ransomware à 7 zéros. Juste des identifiants traînant dans une vieille base Pastebin et une entreprise qui dort sur ses lauriers.
🔐 Et maintenant ?
Depuis, 23andMe a :
- Rendu le MFA obligatoire (il était temps).
- Réinitialisé tous les mots de passe (ah bon ?).
- Proposé 2 ans de surveillance d’identité (super utile quand tes gènes sont déjà en vadrouille).
Et cerise sur le chromosome : l’entreprise a été rachetée par Anne Wojcicki, la fondatrice elle-même, qui promet de ne plus jamais laisser filtrer votre ADN. Juré, craché.
🎯 Conclusion : “Ton code génétique n’est pas un mot de passe jetable”
Si vous utilisez encore le même mot de passe pour Gmail, Netflix et 23andMe, vous méritez un coup de baguette CRISPR sur les doigts.
Mais surtout : ne confiez pas vos données les plus sensibles à des services qui traitent la cybersécurité comme un module facultatif. Parce qu’au final, cette fuite-là ne s’oubliera pas. Elle se transmettra.
Littéralement.
