L'expert en cybersécurité Damien Bancal, nous dévoile sur son blog quelques réalités du moment qui a précédé la chute de 23andMe
Pour résumer :
- en octobre 2023, 7 millions de profils génétiques ont été compromis par une attaque dite « par bourrage d’identifiants » (credential stuffing) qui se base sur le fait que les humains utilisent à tort le même mot de passe sur différents sites. Les pirates ont donc exploité des données issues d’autres fuites antérieures pour accéder aux comptes 23andMe. Les hackers ont pu accéder non seulement aux comptes piratés directement, mais aussi à des informations sur des milliers d’autres profils liés. Une réaction en chaîne qui a démultiplié la portée de la brèche. D'après Wired il est possible que l'attaque ait ciblé des utilisateurs aux origines ashkénazes et d'autres aux origines chinoises.
- en 2024 23andMe a provisionné 30 millions de dollars pour répondre au recours collectif qui a été mené à la suite
- en février 2025 la base de données est apparue dans le darkweb. 999 998 comptes exactement. 610 357 comptes avec données de santé. 416 924 hommes, 583 060 femmes. A noter que l'on trouve 12 175 français concernés.
- en mars 2025 23andMe a déposé le bilan.
De plus plusieurs profils présents dans cette base peuvent attirer l'attention. trente membres de la famille de Bill Gates et cinq membres de la famille de Donald Trump y sont présents et ceci quelques jours à peine après qu'un piratage de l'ordinateur du cousin de Vladimir Putine révèle son analyse ADN effectuée par la société Genotek en 2023... Si l'on rapproche cela de ce que dévoilait le député démocrate Jason Crow lors du forum de sécurité d'Aspen en 2022 sur une utilisation potentielle des banques de données ADN (et il cite 23andMe) pour en faire des armes biologiques ciblées, il y a de quoi avoir froid dans le dos.
Derniers commentaires