🔬 23andMe : quand ton ADN devient un cadeau surprise pour le dark web

Bienvenue dans l’affaire 23andMe — ou comment une entreprise censĂ©e manier les donnĂ©es les plus sensibles possibles(spoiler : ton gĂ©nome) a rĂ©ussi l’exploit de les exposer comme un compte MySpace en 2006.

Ah, les joies de la gĂ©nĂ©tique grand public ! Pour moins de 100 euros, on t’analyse ta salive, on te fait croire que tu es 12,4 % viking et 3,7 % Ă©gyptien, et en bonus, on file ton ADN aux cybercriminels.

🎬 RĂ©sumĂ© de l’épisode : “GĂ©nĂ©tique, fuites et nĂ©gligence”

Nous sommes en 2023. 23andMe, cĂ©lĂšbre pour ses tests ADN Ă  domicile, subit une attaque. Mais attention, pas une attaque ultra-sophistiquĂ©e menĂ©e par un APT sponsorisĂ© par un État. Non, non.

Un simple credential stuffing. C’est-Ă -dire ? Des pirates ont utilisĂ© des identifiants rĂ©utilisĂ©s (volĂ©s ailleurs, hein, pas chez eux) pour se connecter Ă  des comptes 23andMe. Et une fois dedans, ils ont profitĂ© d’une fonctionnalitĂ© bien pratique : l’arbre gĂ©nĂ©alogique.

En un clic, on accĂšde non seulement Ă  ses propres infos ADN, mais aussi Ă  celles de ses correspondants gĂ©nĂ©tiques. En clair : un compte compromis = des dizaines de profils exposĂ©s.

RĂ©sultat : 4,1 millions de profils dans la nature, dont plus d’un million de personnes d’origine juive ashkĂ©naze. Sympa, non ?

đŸŽâ€â˜ ïž La sĂ©curitĂ© selon 23andMe : optionnelle, comme les serviettes en papier

L’ICO (le rĂ©gulateur britannique) vient donc de condamner 23andMe Ă  une amende de ÂŁ2,31 millions. Pourquoi ? Parce qu’on parle lĂ  de failles de sĂ©curitĂ© dignes d’un blog WordPress de 2009 :

  • Pas d’authentification multifacteur obligatoire.
  • Des mots de passe faibles tolĂ©rĂ©s.
  • Aucune alerte sĂ©rieuse dĂ©clenchĂ©e malgrĂ© l’activitĂ© suspecte.
  • Une communication quasi inexistante avec les utilisateurs pendant des mois.

L’entreprise n’a commencĂ© Ă  prendre le problĂšme au sĂ©rieux qu’en octobre, aprĂšs que des donnĂ©es ont Ă©tĂ© revendues sur Reddit et BreachForums. Reddit. Le bar de fin de soirĂ©e d’Internet.

🧬 L’ADN : cette donnĂ©e qu’on ne peut pas rĂ©initialiser

Contrairement Ă  ton mot de passe ou Ă  ta CB, ton ADN est immuable. C’est littĂ©ralement toi. Et le bonus ? Ces donnĂ©es ne concernent pas seulement toi, mais aussi ta famille. Tes enfants. Tes petits-enfants. Tes cousins Ă©loignĂ©s au Texas.

C’est comme si tu publiais ton arbre gĂ©nĂ©alogique et tes prĂ©dispositions mĂ©dicales en open source, sans mĂȘme t’en rendre compte.

Et pendant ce temps, 23andMe continuait Ă  proposer des rapports de santĂ©, des estimations de longĂ©vitĂ©, des liens familiaux
 Tout ça sans prĂ©venir les utilisateurs que leur profil servait peut-ĂȘtre dĂ©jĂ  de cobaye dans un laboratoire d’ingĂ©nierie sociale.

🎁 Ce que les hackers ont reçu gratuitement

Voici une petite fiche cadeau type que les pirates ont pu obtenir :

  • Nom, prĂ©nom, date de naissance
  • Adresse e‑mail
  • Localisation
  • Origine ethnique
  • Arbre gĂ©nĂ©alogique complet
  • DonnĂ©es de santĂ©
  • DonnĂ©es brutes ADN

Bonus : avec suffisamment de profils croisĂ©s, on peut reconstituer des familles entiĂšres. Une mine d’or pour le phishing, l’usurpation, la manipulation ou
 la discrimination gĂ©nĂ©tique (hello assurances privĂ©es).

đŸ›ïž L’ICO punit, les victimes trinquent

L’ironie, c’est que l’amende infligĂ©e par le rĂ©gulateur britannique va Ă  l’État, pas aux victimes. Pendant ce temps, aux États‑Unis, une class action a dĂ©bouchĂ© sur un dĂ©dommagement de 30 millions de dollars. Ce qui reste ridicule quand on compare ça au prĂ©judice de “votre gĂ©nome en libre accĂšs pour l’éternitĂ©â€.

đŸ€Šâ€â™‚ïž Leçon de morale (façon cours du soir pour CEO inattentif)

Ce n’est pas la premiĂšre fois qu’on vous le dit sur SecuSlice :

  • On a dĂ©jĂ  parlĂ© des fuites chez T-Mobile, des bases ouvertes d’Elasticsearch ou du Shadow IT version ChatGPT.
  • Mais lĂ , on touche un nouveau niveau : la fuite de ce que vous ĂȘtes.
  • Pas ce que vous possĂ©dez. Pas ce que vous faites. Mais ce que vous ĂȘtes biologiquement.

Et pour ça, pas besoin d’un ransomware Ă  7 zĂ©ros. Juste des identifiants traĂźnant dans une vieille base Pastebin et une entreprise qui dort sur ses lauriers.

🔐 Et maintenant ?

Depuis, 23andMe a :

  • Rendu le MFA obligatoire (il Ă©tait temps).
  • RĂ©initialisĂ© tous les mots de passe (ah bon ?).
  • ProposĂ© 2 ans de surveillance d’identitĂ© (super utile quand tes gĂšnes sont dĂ©jĂ  en vadrouille).

Et cerise sur le chromosome : l’entreprise a Ă©tĂ© rachetĂ©e par Anne Wojcicki, la fondatrice elle-mĂȘme, qui promet de ne plus jamais laisser filtrer votre ADN. JurĂ©, crachĂ©.

🎯 Conclusion : “Ton code gĂ©nĂ©tique n’est pas un mot de passe jetable”

Si vous utilisez encore le mĂȘme mot de passe pour Gmail, Netflix et 23andMe, vous mĂ©ritez un coup de baguette CRISPR sur les doigts.

Mais surtout : ne confiez pas vos donnĂ©es les plus sensibles Ă  des services qui traitent la cybersĂ©curitĂ© comme un module facultatif. Parce qu’au final, cette fuite-lĂ  ne s’oubliera pas. Elle se transmettra.

Littéralement.

🔬 23andMe : quand ton ADN devient un cadeau surprise pour le dark web
Partager cet article : Twitter LinkedIn WhatsApp

đŸ–‹ïž PubliĂ© sur SecuSlice.com

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut