Quels sont les véritables enjeux de la cyber-sécurité dans l’ère du numérique ? Récemment, un dossier de la SEC a révélé davantage de détails sur une faille de données affectant les utilisateurs de 23andMe, un incident divulgué pour la première fois cet automne. Les pirates auraient pu accéder aux informations de 0,1 pour cent des utilisateurs, soit environ 14 000 sur les 14 millions de clients. Cette vulnérabilité a-t-elle seulement exposé les informations ancestrales ou va-t-elle au-delà ?
Lorsque la brèche a été initialement annoncée en octobre, 23andMe a assuré que « aucun résultat de test génétique n’a fuité ». Cependant, le nouveau document indique que les données comprenaient « généralement des informations sur l’ascendance et, pour un sous-ensemble de ces comptes, des informations liées à la santé basées sur la génétique de l’utilisateur ». Ces informations ont-elles été obtenues par des moyens sophistiqués ? Non, il s’agissait d’une attaque par « credential stuffing », où les pirates ont exploité des identifiants volés sur d’autres sites. Mais quelle est l’étendue exacte du partage d’informations entre les utilisateurs avec l’option DNA Relatives ?
Mais quelle est l’étendue exacte du partage d’informations entre les utilisateurs avec l’option DNA Relatives ?
Que fait 23andMe depuis la découverte de la faille ? Engadget a contacté l’entreprise pour obtenir des commentaires. Suite à cette découverte, 23andMe a demandé aux utilisateurs affectés de modifier leur mot de passe et a également implanté l’authentification à deux facteurs pour l’ensemble de sa clientèle. Après la fin de l’enquête le vendredi dernier, la compagnie affirme avoir contacté toutes les personnes touchées. Comment l’entreprise renforce-t-elle ses mesures pour empêcher de future fuites de données ?
La compagnie se veut rassurante, affirmant que « l’activité de l’acteur de la menace est contenue », et travaille activement à faire retirer les informations publiées sur internet. Cette assurance suffit-elle pour restaurer la confiance des utilisateurs après une telle atteinte à leur vie privée ? À l’heure où les risques cybernétiques sont omniprésents, quelle garantie avons-nous réellement que nos données génétiques restent privées et protégées ?
Source : Engadget
