Fuite de tests ADN : 23andMe n’a pas détecté l’attaque pendant cinq mois

Près de 7 millions de tests ADN réalisés par 23andMe ont fuité sur Internet. Il y a quelques semaines, la société américaine rejetait la faute sur ses clients. On vient d’apprendre que 23andMe était la cible de pirates depuis mai 2023, sans s’en rendre compte.

L’affaire a fait grand bruit en octobre : des pirates ont pu accéder à des comptes de 23andMe (tests ADN) de certains utilisateurs qui ont eu la mauvaise idée de réutiliser le même mot de passe que sur d'autres services. Les pirates ont ensuite profité de la fonction « DNA relatives » pour faire caisse de résonance et récupérer les tests de près de 7 millions d’utilisateurs.

• Fuite de tests ADN : 23andMe rejette la faute sur les utilisateurs

Il a fallu attendre plusieurs jours après la première communication officielle pour que les mots de passe des comptes soient réinitialisés et plusieurs semaines avant que la double authentification ne soit obligatoire. Car oui, 23andMe n’imposait pas de double authentification pour des données aussi sensibles et personnelles que des résultats de tests ADN. C’est pourtant quasiment le minimum que l’on pourrait en attendre d’un tel service.

• [Édito] Mots de passe, double authentification : grrrrr… il est temps d’agir !

Dans un document officiel envoyé au procureur général de Californie, on découvre d’autres éléments de cette affaire, notamment ce qui s’est passé en amont, comme le rapporte TechCrunch.

L’attaque a débuté en mai 2023

La société y explique que, « le 1ᵉʳ octobre 2023, un tiers a publié sur le subreddit non officiel 23andMe qu’il détenait des informations sur des clients de 23andMe et publiait un échantillon des données volées ». L’entreprise a lancé une enquête dans la foulée et « engagé des experts en matière de réponse aux incidents pour nous aider à déterminer l'étendue des dégâts ».

Le résultat n’est pas vraiment rassurant concernant 23andMe : « Sur la base de notre enquête, nous pensons qu'un acteur malveillant a mené une attaque de type credential stuffing entre mai 2023 et septembre 2023 pour accéder à un ou plusieurs comptes 23andMe ».

Une première fuite en août… passée sous les radars

Ni l’enquête ni les communiqués de 23andMe ne font mention d’une autre publication de données dérobées, sur le forum spécialisé Hydra en août 2023 cette fois-ci, selon TechCrunch. Nos confrères précisent que certaines données de cette fuite correspondent à celles publiées en octobre.

Difficile de passer à côté pourtant pour l’entreprise puisqu’« au moins une personne a vu le message sur Hydra […] Le même jour, un utilisateur de Reddit a écrit sur le subreddit non officiel 23andMe, alertant les autres ». L’entreprise n’en fait dans tous les cas pas mention.

Credential stuffing, késako ?

La CNIL rappelle que le credential stuffing (ou bourrage d’identifiant) « consiste à réaliser, à l’aide de logiciels ou de façon manuelle, des tentatives d’authentification massives sur des sites et services web à partir de couples identifiants/mots de passe (généralement, une adresse électronique et un mot de passe) ». La Commission précise ici qu’une analyse des journaux (alias les logs) ou un système de limitation des tentatives de connexion (rate limiting) permet de détecter ce type d’attaques, de les bloquer ou au moins de limiter les risques.

23andMe ne parle pas de ces techniques de détection et d’atténuation (il en existe d’autres, avec un captcha par exemple). La société se concentre uniquement sur le fait que « les noms d'utilisateur et les mots de passe utilisés sur 23andMe.com étaient les mêmes que ceux utilisés sur d'autres sites web précédemment compromis ou publiés ».

Latence de réaction de 23andMe

La rapidité d’action de 23andMe n’est pas des plus exemplaires, loin de là. Des données ont pour rappel été publiées le 1ᵉʳ octobre. Voici la suite des événements, tels que décrit par 23andMe dans sa communication officielle :

« Le 10 octobre, nous avons demandé à tous les clients 23andMe de réinitialiser leur mot de passe. Le 6 novembre, nous avons demandé à tous les anciens et nouveaux clients de se connecter en utilisant une vérification en deux étapes ».

Neuf jours pour la réinitialisation des mots de passe après une fuite de données… provenant d’une réutilisation des mots de passe. Plus d’un mois pour passer à la double authentification de facultative à obligatoire… On a connu plus réactif, même dans le cas de sociétés avec des données bien moins sensibles.