Le spécialiste du test génétique 23andMe serait-il de mauvaise foi? Dans un courrier datant de la mi-décembre et récemment dévoilé par TechCrunch, l’entreprise tente de minimiser ses responsabilités après la fuite de données qui l’a affectée cet automne. Cette dernière s’est soldée par la vente des informations de profil de la moitié de ses clients sur des marchés noirs.
Pour 23andMe, cette fuite de données serait en effet d’abord due à la négligence de ses utilisateurs dans la réutilisation de vieux mots de passe. “Par conséquent, l’incident n’est pas dû à un prétendu échec de 23andMe à garantir une sécurité informatique raisonnable”, résume l’entreprise, qui fait désormais face à une trentaines de poursuites judiciaires, selon la presse américaine.
Bourrage d’identifiants
Les pirates informatiques ont réussi à obtenir un accès frauduleux à 14 000 comptes d’utilisateurs grâce à une attaque par bourrage d’identifiant. Cette méthode consiste à tester des combinaisons d’identifiants et de mots de passe ayant déjà fuité sur d’autres plateformes. Cette attaque avait permis aux pirates, par le jeu des fonctionnalités de partage d’informations entre utilisateurs, de mettre la main sur des informations relatives à la moitié des utilisateurs de la plateforme.
Si les données génétiques de ce ce service proposant une analyse d’ADN n’étaient pas concernées, les hackers ont pu avoir accès au nom d’utilisateur, à son année de naissance, son pourcentage d’ADN partagé avec des proches, les photos de profil et pour une partie de leurs victimes (1,4 million), leurs arbres généalogiques, avec parfois des années de naissance et des données de localisation.
Attaque classique
Cette tentative de dédouanement n’est évidemment pas du goût des avocats des victimes de la fuite de données. “23andMe savait ou aurait dû savoir que de nombreux consommateurs utilisent des mots de passe recyclés”, remarque ainsi Hassan Zavareei, cité par TechCrunch. Au vu des informations sensibles stockées sur le site, l’entreprise aurait également dû, poursuit-il, prendre des mesures contre le bourrage d’identifiants.
Ce genre d’attaque est en effet un classique. Les recettes pour les enrayer sont bien connues, de la détection, en remarquant un flot inattendu de tentatives de connexion simultanées, à la réinitialisation forcée de tous les mots de passe.
L’activation de la double authentification, finalement imposée par 23andMe après le piratage, permet également de couper l’herbe sous le pied des cybercriminels. La société aurait enfin pu forcer ses utilisateurs à choisir un mot de passe fort. Une façon de les pousser à créer ou générer un mot de passe différent de ceux employés sur des services moins regardants.