Une plateforme de test ADN victime de fuite de données

Les fichiers, mis en vente entre 1$ et 10$ sur le site des hackeurs BreachForums, regroupent des informations telles que le sexe, la date de naissance et des détails sur l’ascendence génétique et géographie. Parmi les données publiées, on retrouve certaines célébrités comme Elon Musk ou Mark Zuckerberg.

Selon la société, les hackeurs ont pu pénétrer dans la base de données en exploitant la technique du “credential stuffing”, où bourrage d’identifiants, en accédant aux comptes des utilisateurs via leurs identifiants recyclés.

L'utilisation d’un test ADN peut revêtir une dimension tant ludique que sérieuse. Cependant, il est indéniable que la fuite de données, englobant les informations personnelles usuelles ainsi que des éléments relatifs à l'ascendance génétique et géographique, représente incontestablement un problème majeur, présent et futur. Il est essentiel de méditer sur le fait que le recours à un service aussi intrusif devrait s'accompagner d'une prise de conscience des risques inhérents.

La technique utilisée par les pirates pour pénétrer le réseau de l’entreprise, le Credential Stuffing, repose sur la faille créée par un utilisateur qui utilise un seul et même mot de passe pour plusieurs applications au site Internet. Une fois ce mot de passe, compromis par une précédente fuite de données par exemple, les criminels constituent des bases de données gigantesques comprenant à la fois les login et les mots de passe associés. Ils utilisent ensuite des outils qui permettent de tester ces couples d’identifiants sur de très grands nombre d’applications ou de sites Internet. Tels que les réseaux sociaux, les messageries ou tous autres sites qui ont de la valeur. En utilisant plusieurs fois le même identifiant, et le même mot de passe, bien souvent notre adresse e-mail ainsi qu’un mot de passe, on facilite grandement la tâche au pirate qui peuvent ainsi pénétrer nos comptes, avec parfois de lourdes conséquences. Pour s’en protéger, notre conseil est d’utiliser un mot de passe complexe et différent pour chaque site, ainsi que d’activer, quand cela est possible, l’authentification multifacteur, c’est-à-dire un code ou un SMS à donner en en même temps que son login et son mot de passe.