Des pirates ont pu accéder à des comptes de 23andMe (tests ADN) d’utilisateurs ayant réutilisé le même mot de passe que sur d’autres services. Pire encore, ils auraient récupéré des données d’autres clients via une fonction « DNA relatives ». L’occasion de rappeler les risques en cas de fuite et la législation sur le sujet en Europe et en France.
C’est pas moi, c’est lui
Des données d’au moins un million d’utilisateurs 23andMe ont été proposées à la vente sur un forum et l’entreprise de tests génétiques a confirmé que des données de certains de ses utilisateurs ont été compromises, explique Wired.
Dans un communiqué, la société indique avoir rapidement diligenté une enquête et estime que les données mises en vente ne proviennent pas d’une fuite interne :
« Nous pensons que les acteurs malveillants ont pu accéder à certains comptes dans des cas où les utilisateurs ont recyclé les identifiants, c’est-à-dire que les noms d’utilisateur et mots de passe utilisés sur 23andMe.com étaient les mêmes que ceux utilisés sur d’autres sites qui ont précédemment été piratés ».
On ne le répètera jamais assez, mais c’est là encore l’exemple flagrant du pourquoi il ne faut pas réutiliser le même mot de passe sur plusieurs sites, d’autant plus avec des données aussi sensibles. La fuite de l’un entraine automatiquement des risques sur les autres. Les pirates n’ont en effet qu’à tester le couple email et mot de passe sur une multitude de services afin de voir s’ils sont acceptés.