Skip to content
Cyber Breaches
Recherche
Bourrage d’identifiantsRésolu

Violation de données 23andMe par credential stuffing

Des attaquants ont utilisé des identifiants réutilisés issus de fuites antérieures pour accéder à des comptes 23andMe, puis ont exploité la fonctionnalité « DNA Relatives » pour collecter des données de généalogie et de profils génétiques de 6,9 millions d'utilisateurs à partir des connexions de proches compromis.

Victime
23andMe Holding Co.
Perte
$50.0M
données
6.9M
utilisateurs
6.9M
SecteurSantéTechnologie
PaysÉtats-Unis
GroupeGolem (forum persona)Unknown criminal operators

Le 6 octobre 2023, 23andMe — l'entreprise américaine de tests génétiques grand public — a confirmé publiquement que des attaquants avaient compromis des comptes clients par credential stuffing, en utilisant des identifiants réutilisés issus de fuites antérieures. Le nombre de comptes directement compromis était faible (environ 14 000), mais les attaquants ont exploité la fonctionnalité sociale DNA Relatives de 23andMe pour collecter des données de généalogie et de profils sur une population bien plus large : 6,9 millions d'utilisateurs, soit environ la moitié de la base clients totale de 23andMe.

L'incident est devenu le cas emblématique des cascades de réutilisation d'identifiants à travers les fonctionnalités de graphe social et a contribué au dépôt de bilan de 23andMe en mars 2025.

Ce qui s'est passé

23andMe est un service de tests génétiques en accès direct au consommateur. Les utilisateurs soumettent un échantillon de salive, reçoivent des rapports de généalogie et (historiquement) de risques de santé, et peuvent activer une fonctionnalité appelée DNA Relatives qui les met en relation avec d'autres utilisateurs de 23andMe partageant du matériel génétique — des proches biologiques que l'utilisateur connaissait ou non.

La fonctionnalité DNA Relatives, dans sa configuration de 2023, permettait par défaut aux utilisateurs de consulter une quantité substantielle d'informations de profil de leurs correspondances génétiques : noms, photos de profil, composition généalogique, estimations d'origines ethniques et informations géographiques partagées. Il s'agissait d'une fonctionnalité optionnelle, mais la plupart des utilisateurs l'avaient activée pour maximiser la valeur de découverte généalogique.

L'approche des attaquants :

  1. Credential stuffing : test de paires d'identifiants issues de fuites antérieures (LinkedIn 2012, Adobe 2013, et d'autres) contre des comptes 23andMe. Environ 14 000 comptes ont été directement compromis sur plusieurs mois.
  2. Exploitation de DNA Relatives : pour chaque compte compromis, collecte des informations de profil de toutes les correspondances génétiques du compte — généralement des dizaines à des milliers de profils de proches par compte compromis.
  3. Agrégation : à travers les 14 000 comptes compromis, des données de profil concernant environ 6,9 millions d'utilisateurs uniques de 23andMe ont été capturées — soit environ la moitié de la base clients totale de 23andMe.

Point crucial, les attaquants n'ont pas exfiltré les données brutes de séquences génétiques — ces données ne sont pas accessibles via la fonctionnalité DNA Relatives. Mais les données de composition généalogique et ethnique de chaque proche étaient visibles et ont été capturées à grande échelle.

L'échantillon « Juifs ashkénazes »

Le 1er octobre 2023, un utilisateur d'un forum criminel utilisant le persona Golem a proposé à la vente un jeu de données échantillon d'environ 1 million de profils 23andMe étiquetés comme étant d'origine juive ashkénaze. Ce ciblage ethnique sélectif a été largement interprété comme un ciblage antisémite délibéré. Les annonces ultérieures se sont étendues à d'autres populations ethniques, puis enfin au jeu de données complet.

Le ciblage ethnique délibéré constituait une caractéristique distinctive de cette violation par rapport aux incidents de vol de données typiques. Le schéma de diffusion sélective des attaquants — se concentrant d'abord sur les échantillons d'origine juive ashkénaze et chinoise — a attiré une attention médiatique particulière et a ajouté une dimension de discrimination et de harcèlement au préjudice.

Périmètre des données génétiques

Nuance importante : les données brutes de séquences génétiques n'ont pas été exfiltrées. Les données exposées étaient :

  • Informations de profil : noms, photos, lieux, dates de naissance.
  • Composition généalogique : par exemple, « 32 % d'Europe du Nord-Ouest, 24 % d'Europe de l'Est, 18 % de Juifs ashkénazes ».
  • Nom d'affichage et origine ethnique auto-déclarée.
  • Suggestions de noms de famille partagés fournies par l'algorithme de 23andMe.

Bien qu'il ne s'agisse pas d'ADN brut, les données de composition généalogique et ethnique sont dérivées de données génétiques et sont traitées comme des informations personnelles sensibles dans la plupart des cadres de protection des données. L'exfiltration constitue donc une violation de données génétiques au sens réglementaire, même si les séquences d'ADN sous-jacentes ne figurent pas dans le jeu de données.

Impact

  • 6,9 millions d'utilisateurs ont vu leurs données de profil et de généalogie exposées — soit environ la moitié de la base clients de 23andMe.
  • Coût direct pour 23andMe : environ 30 M$ de règlement de recours collectif + environ 20 M$ de remédiation directe + un impact significatif lié à la perte de clients.
  • Le dépôt de bilan de 23andMe au titre du chapitre 11 en mars 2025 a cité la violation et ses suites judiciaires parmi les facteurs contributifs, bien que les pressions financières préexistantes de 23andMe en aient été le moteur principal.
  • La conclusion conjointe de l'ICO britannique et du Commissaire à la protection de la vie privée du Canada en juin 2025 selon laquelle la protection des données de 23andMe était inadéquate, assortie d'ordonnances de remédiation.
  • Aucune action coercitive spécifique aux États-Unis à la fin de l'année 2024.

Pourquoi c'est important

23andMe est le cas emblématique des cascades de credential stuffing à travers les fonctionnalités de graphe social. Il a établi :

  • Que le credential stuffing demeure un vecteur d'attaque majeur malgré des années d'avertissements sur la réutilisation de mots de passe. Les 14 000 comptes compromis appartenaient à des utilisateurs dont les identifiants étaient apparus dans des fuites antérieures et n'avaient pas été renouvelés.
  • Que les fonctionnalités de graphe social amplifient considérablement l'impact d'une violation. Le nombre de comptes directement compromis (14 000) sous-estimait le périmètre de la violation d'un facteur de près de 500, car chaque compte compromis exposait des informations sur des centaines d'autres.
  • Que les données dérivées de données génétiques — même sans séquences d'ADN brutes — constituent des informations personnelles sensibles nécessitant une protection renforcée.
  • Que l'activation par défaut des fonctionnalités de partage de données est désormais considérée par les régulateurs comme une défaillance de conception en matière de confidentialité. Les paramètres par défaut de DNA Relatives — que la plupart des utilisateurs avaient conservés — exposaient des informations sur des personnes qui n'avaient aucun choix individuel en la matière (les paramètres de leurs proches déterminaient leur propre exposition).
  • Que la viabilité des entreprises de tests génétiques grand public est désormais structurellement liée à leur posture de cybersécurité, d'une manière que le modèle économique d'origine des années 2010 n'avait pas anticipée. La faillite de 23andMe a découlé de multiples pressions cumulées, mais la cohorte de clients perdus après la violation a été importante.

Le cas a également catalysé l'attention réglementaire sur les données de tests génétiques grand public : les lois des États américains visant spécifiquement les données génétiques en accès direct au consommateur se sont multipliées après l'affaire 23andMe, et la FTC a engagé plusieurs actions coercitives contre des opérateurs de tests génétiques pour sécurité inadéquate.

Impact financier

Coûts déclarés en USD

Perte totale déclarée
50.0M
USD · 50 000 000 $US
  • Perte d’exploitation$20.0M
  • Remédiation$30.0M

Chronologie

  1. Les attaquants commencent à tester des paires d'identifiants issues de fuites antérieures contre des comptes 23andMe. Environ 14 000 comptes sont directement compromis au cours des mois suivants.

  2. Les attaquants commencent à collecter systématiquement les données de profils de généalogie via la fonctionnalité « DNA Relatives » — qui permet aux utilisateurs de consulter les informations de profil des correspondances génétiques. Chaque compte compromis expose des informations sur des dizaines à des milliers de profils de proches.

  3. Le persona de forum « Golem » propose à la vente un échantillon d'« environ 1 million de profils 23andMe de Juifs ashkénazes », puis l'étend à « toutes les données 23andMe ». Le jeu de données comprend des noms, des photos de profil, des estimations d'origines ethniques et des informations de généalogie.

  4. 23andMe confirme publiquement un accès non autorisé par credential stuffing. Périmètre initial : 14 000 comptes directement compromis.

  5. 23andMe révise le périmètre : 6,9 millions d'utilisateurs ont vu leurs données de profil exposées via la fonctionnalité DNA Relatives — environ la moitié de la base clients de 23andMe.

  6. 23andMe accepte un règlement de recours collectif de 30 M$ couvrant les utilisateurs américains.

  7. 23andMe se place sous la protection du chapitre 11 de la loi sur les faillites. La violation est citée comme un facteur contributif à la perte ultérieure de clients et aux coûts de contentieux.

  8. L'ICO britannique et le Commissaire à la protection de la vie privée du Canada concluent conjointement que la protection des données de 23andMe est inadéquate et ordonnent des mesures correctives.

Sources

  1. blog.23andme.comhttps://blog.23andme.com/articles/addressing-data-security-concerns
  2. ico.org.ukhttps://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2025/06/joint-investigation-into-23andme-finds-genetic-data-was-not-adequately-protected/
  3. justice.govhttps://www.justice.gov/usao-ndca/pr/23andme-agrees-pay-30-million-resolve-class-action

Incidents liés

Bourrage d’identifiantsRésolu

Compromission du système de gestion des dossiers de support d'Okta

Un acteur malveillant a utilisé l'identifiant volé d'un compte de service — exposé via le compte Google personnel d'un employé — pour accéder au système de gestion des dossiers de support client d'Okta, lisant des fichiers HAR contenant des jetons de session et permettant le détournement de session contre des clients dont 1Password, BeyondTrust et Cloudflare.

Victim
Okta
Bourrage d’identifiantsContenu

Campagne de credential-stuffing contre les comptes clients Snowflake (UNC5537, 2024)

Un cluster malveillant suivi sous le nom d'UNC5537 / ShinyHunters a utilisé des identifiants collectés par des logiciels infostealers pour se connecter à environ 160 tenants clients Snowflake dépourvus de MFA. Parmi les victimes : AT&T, Ticketmaster, Santander, LendingTree, Advance Auto Parts, Neiman Marcus et Bausch Health. Ticketmaster à elle seule a exposé les données d'environ 560 millions d'utilisateurs.

Victim
Tenants clients de Snowflake (~160 organisations : AT&T, Ticketmaster, Santander, LendingTree, Advance Auto Parts, Neiman Marcus, Bausch Health, etc.)
Records
560.0M
Bourrage d’identifiantsRésolu

Vague de credential stuffing et de zoombombing sur Zoom

Alors que les confinements liés à la pandémie portaient l'usage de Zoom à des niveaux records, plus de 500 000 identifiants de comptes Zoom récoltés par credential stuffing ont été vendus ou distribués gratuitement sur le dark web, tandis que des réunions ouvertes étaient détournées lors d'une vague d'incidents perturbateurs de « zoombombing ».

Victim
Zoom Video Communications (et ses utilisateurs)
Records
530.0K
Bourrage d’identifiantsRésolu

Fuite d'identifiants Collection #1

Un dump agrégé d'identifiants de 87 Go publié sur le service cloud MEGA a exposé 772,9 millions d'adresses e-mail uniques et 21,2 millions de mots de passe uniques, assemblés à partir de milliers de fuites antérieures pour alimenter des attaques de credential stuffing à l'échelle industrielle.

Victim
Internautes du monde entier (dump agrégé multi-fuites)
Records
772.9M