Piratage de 23andMe : la société blâme ses utilisateurs
![Image [FORUM INCYBER 2026] Pour une poignée de data : quand la donnée devient arme](https://incyber.org//wp-content/uploads/import/post/2023/01/le-gang-de-rancongiciel-hive-mis-hors-ligne-885x641.jpg)
Les 14 000 comptes à l’origine de la fuite de données en cascade utilisaient un mot de passe recyclé, présent dans des « annuaires » cybercriminels.
Le spécialiste du test génétique grand public 23andMe s’est dédouané de la cyberattaque dont il a été victime, dans un courrier de mi-décembre 2023, révélé le 3 janvier 2024 par TechCrunch. Des cybercriminels avaient réussi, début décembre 2023, à dérober les données personnelles de 6,9 millions de ses utilisateurs, mises en vente sur le darknet. Ces données volées ne comprenaient aucune informatique génétique.
23andMe attribue donc la fuite à la négligence de ses clients, qui ont réutilisé pour leur compte d’anciens mots de passe ayant été exposés. « Par conséquent, l’incident n’est pas dû à un prétendu échec de 23andMe à garantir une sécurité informatique raisonnable », écrit la société.
Les cybercriminels ont en effet pu se connecter à 14 000 comptes de 23andMe en utilisant le bourrage d’identifiants. Cette technique consiste à tester des combinaisons d’adresses mail et de mots de passe ayant fuité par le passé, présentes dans des « annuaires » cybercriminels. À partir de ces 14 000 comptes, les attaquants ont pu accéder, grâce à une fonctionnalité de partage des informations, à la moitié des utilisateurs de 23andMe.