Qu'est-ce qui aurait pu arrêter le piratage de 23andMe ?

Voici comment le piratage de 23andMe s'est produit et comment différentes solutions de contrôle d'accès et de connexion auraient pu l'arrêter.

Le 10 octobre 2023, 23andMe a annoncé que de mauvais acteurs avaient volé les données personnelles, génétiques et ethniques de millions d'utilisateurs . Plus choquant encore, les pirates vendaient ces données, notamment les noms, photos, emplacements et informations sur l'ascendance génétique des utilisateurs de 23andMe, sur le dark web, ce qui permettait potentiellement aux victimes d'être ciblées en fonction de leur origine ethnique.

Cet article examine comment le piratage de 23andMe s'est produit et, plus important encore, comment diverses technologies de contrôle d'accès et de connexion auraient pu aider 23andMe à empêcher ce piratage de se produire en premier lieu.

Comment les pirates ont-ils pénétré dans 23andMe ?

Les pirates de 23andMe ont utilisé le « credential stuffing », un exploit qui repose sur le fait que la plupart des gens utilisent les mêmes combinaisons nom d'utilisateur/mot de passe sur différents sites Web. Fondamentalement, les pirates prennent une liste de combinaisons nom d’utilisateur/mot de passe d’un autre site Web qui a été piraté et les testent sur le site Web qu’ils souhaitent cibler.

Un bon exemple en est le Base de données RockYou2021 . Il s’agit d’un fichier Web sombre accessible au public contenant 8,4 milliards d’informations d’identification volées sur différents sites Web. Il y a de fortes chances que vous ayez des informations d'identification compromises sur cette liste ou sur une autre, c'est pourquoi il est si important d'utiliser un mot de passe unique sur chaque site Web.

Selon le Washington Post " Des publications en ligne proposant les données à la vente sur des forums clandestins indiquaient que les acheteurs pouvaient acquérir 100 profils pour 1 000 $ ou jusqu'à 100 000 pour 100 000 $. " La violation a touché environ 14 millions de comptes.

Pourquoi 23andMe était-il vulnérable au Credential Stuffing ?

D'après TechCrunch :

«23andMe a imputé l'incident à ses clients pour la réutilisation des mots de passe et à une fonctionnalité d'adhésion appelée DNA Relatives , qui permet aux utilisateurs de voir les données d'autres utilisateurs inscrits dont les données génétiques correspondent aux leurs. Si un utilisateur avait cette fonctionnalité activée, en théorie, cela permettrait aux pirates informatiques de récupérer les données de plusieurs utilisateurs en s'introduisant dans le compte d'un seul utilisateur.

Si vous êtes coupable de réutilisation de mots de passe (la plupart d’entre nous le sont), alors vous êtes vulnérable à ce type de piratage. Mais blâmer le client pour de mauvaises pratiques en matière de mots de passe n'est pas vraiment juste. Les comptes 23andMe dotés de mots de passe forts étaient également vulnérables. En raison de la manière dont le programme « DNA Relatives » a connecté les données des utilisateurs, les comptes dotés de mots de passe faibles ont exposé ceux dotés de mots de passe forts.

En fin de compte, compter sur les utilisateurs pour qu’ils adoptent de bonnes pratiques en matière de mots de passe est une stratégie perdante en matière de contrôle d’accès. Selon des statistiques récentes :

• 13 % des personnes réutilisent le même mot de passe sur tous les comptes ( Étude Google 2019 )
• 52 % utilisent la même chose pour plusieurs comptes ( Étude Google 2019 )
• Seulement 35% (les plus responsables) utilisent un mot de passe différent pour chaque compte ( Étude Google 2019 )
• 81 % des violations confirmées en 2022 étaient dues à des mots de passe faibles, réutilisés ou volés ( Rapport LastPass )

Au vu de ces statistiques, il est facile de conclure que les gestionnaires de sites Web ne peut pas comptez sur les utilisateurs pour développer de bonnes pratiques en matière de mots de passe. Cela impose aux propriétaires de sites Web la responsabilité claire de mettre en œuvre de meilleures mesures de connexion/accès.

Qu’en est-il des gestionnaires de mots de passe comme 1Password ?

Les gestionnaires de mots de passe offrent une excellente solution pour créer et suivre des mots de passe uniques. La plupart des navigateurs Web incluent un gestionnaire de mots de passe gratuit et il existe des services payants comme 1password . Mais vous ne pouvez pas forcer chaque client à utiliser un gestionnaire de mots de passe. Sur les plateformes de réseaux sociaux et les sites comme 23andMe, où les clients se connectent et partagent automatiquement des informations personnelles, les utilisateurs qui n'adoptent pas de bonnes pratiques en matière de mots de passe mettront en danger ceux qui le feront.

De plus, les gestionnaires de mots de passe ne sont pas infaillibles. Si un pirate informatique capture le mot de passe principal, il obtient TOUT. Les attaques de phishing, qui consistent à cliquer sur un lien malveillant et à exposer vos informations d'identification, constituent également un problème. Le Dr Siamak Shahandashti du Département d'informatique de l'Université de York a souligné ces vulnérabilités dans la déclaration suivante :

« Les vulnérabilités des gestionnaires de mots de passe offrent aux pirates la possibilité d'extraire des informations d'identification, de compromettre des informations commerciales ou de violer les informations des employés. Parce qu’ils sont les gardiens d’un grand nombre d’informations sensibles, une analyse rigoureuse de la sécurité des gestionnaires de mots de passe est cruciale.

"Notre étude montre qu'une attaque de phishing à partir d'une application malveillante est tout à fait réalisable : si une victime est amenée à installer une application malveillante, elle pourra se présenter comme une option légitime dans l'invite de saisie automatique et aura de grandes chances de succès."

En fin de compte, les gestionnaires de mots de passe valent mieux que rien et ils peuvent vous aider à rester plus en sécurité , mais même les utilisateurs dotés de gestionnaires de mots de passe étaient vulnérables lors de l'attaque 23andMe en raison de la manière dont les comptes d'utilisateurs étaient interconnectés et partageaient des informations personnelles. Il faut faire davantage pour protéger l’accès aux comptes par les sites Web eux-mêmes.

Qu’en est-il de l’authentification multifacteur (MFA) ?

Pour augmenter la sécurité de connexion, de nombreux sites Web utilisent l'authentification multifacteur (MFA). Il existe de nombreux types de MFA, et les solutions les plus populaires consistent à envoyer un mot de passe temporaire à 2 facteurs (2FA) par SMS ou par e-mail, obligeant les utilisateurs à effectuer une étape d'authentification supplémentaire mais fastidieuse.

23andMe n'a pas proposé MFA à ses utilisateurs. Mais même si c’était le cas, les solutions MFA par SMS et par courrier électronique ne sont plus aussi sécurisées qu’avant. Dans la plupart des cas, le courrier électronique n'est sécurisé que par un mot de passe. En outre, il est relativement courant que des pirates prennent le contrôle d'un smartphone via l'échange de cartes SIM. En fait, c'est ce qui s'est passé lors du récent piratage du compte Twitter de la SEC :

Les chercheurs conviennent également que la MFA basée sur les messages texte est de plus en plus vulnérable aux piratages. Selon le cabinet de cybersécurité Proofpoint :

"Contrairement à ce que l'on pourrait prévoir, il y a eu une augmentation des rachats de comptes parmi les locataires bénéficiant d'une protection MFA (authentification multifacteur)", ont déclaré des chercheurs de la société de sécurité Proofpoint dans un rapport. « D'après nos données, au moins 35 % de tous les utilisateurs compromis au cours de l'année écoulée avaient activé l'authentification multifacteur. »

En raison de ces vulnérabilités, les entreprises comme Microsoft mettent désormais en garde contre l’utilisation de stratégies à 2 facteurs utilisant l’authentification vocale ou par SMS. Selon Alex Weinert , directeur de la sécurité des identités chez Microsoft :

« Ces mécanismes [les stratégies 2FA basées sur les messages texte] sont basés sur des réseaux téléphoniques publics commutés (PSTN), et je pense qu'ils sont les moins sécurisés des méthodes MFA disponibles aujourd'hui. Cet écart ne fera que se creuser à mesure que l'adoption de l'AMF accroît l'intérêt des attaquants à briser ces méthodes. […] Il convient toutefois de répéter que l'AMF est essentielle : nous discutons de la méthode d'AMF à utiliser, et non de l'opportunité d'utiliser l'AMF. »

Qu’en est-il des clés de sécurité physiques comme YubiKey ?

Les clés de sécurité physiques, comme la Yubikey de Yubico , sont de petits appareils que vous connectez à votre téléphone ou à votre ordinateur. Ceux-ci ajoutent un « facteur » physique supplémentaire au processus d’authentification multifacteur. De nombreuses entreprises, comme Google, exigent que leurs employés utilisent des Yubikeys lorsqu'ils se connectent à leurs comptes professionnels. Si un utilisateur ne connecte pas la clé, il ne peut pas y accéder.

Les clés de sécurité physique ajoutent une puissante couche de sécurité. Cependant, plus une organisation grandit, plus ces stratégies deviennent coûteuses. Au prix de 50 $ à 105 $ la clé, fournir des Yubikeys à chaque employé d'une grande organisation coûte cher. De plus, les retards et les tracas de gestion liés à l’envoi et au remplacement des clés créent un fardeau important.

Ensuite, vous avez des sites Web publics, comme 23andMe, avec des millions d'utilisateurs. Il est hors de question d’exiger que chaque utilisateur d’un site Web public ou d’une plateforme de médias sociaux achète un périphérique matériel à 50 $.

Qu’en est-il des solutions de sécurité complètes comme Cisco Duo ?

Cisco Duo et d'autres services de sécurité complets offrent une authentification à deux facteurs (2FA) de haute qualité et d'autres outils d'authentification pour améliorer la sécurité de connexion bien au-delà des mots de passe. Les utilisateurs confirment l'accès via des étapes supplémentaires telles que des appels téléphoniques, des notifications push et des clés de sécurité physiques.

Les services de sécurité complets comme Duo sont idéaux pour les entreprises disposant de bases d'utilisateurs contrôlées. Cependant, les faire fonctionner pour des millions d'utilisateurs sur un site Web comme 23andMe ou Facebook ne serait pas pratique du point de vue des coûts.

Voici pourquoi:

• Coûts d'évolution : les services de sécurité complets comme Duo sont facturés par utilisateur. Facturer des millions de comptes ne serait pas pratique d’un point de vue commercial.
• Friction des utilisateurs : l'authentification en plusieurs étapes de Duo peut dissuader certains utilisateurs, en particulier ceux qui ne sont pas familiers avec 2FA.
• Complexité opérationnelle : la gestion de millions de comptes Duo nécessite une infrastructure et des ressources dédiées.

Qu’en est-il d’une solution d’application d’authentification comme Google Authenticator ?

Rendre obligatoire une solution 2FA comme Google Authenticator aurait pu être un moyen abordable de protéger les utilisateurs de 23andMe. Cependant, il est important de noter que Google Authenticator présente certaines vulnérabilités importantes :

• Attaques de phishing : les attaquants peuvent créer de fausses pages de connexion convaincantes qui volent des noms d'utilisateur, des mots de passe et des codes à usage unique, permettant ainsi aux pirates d'accéder à un compte à distance.
• Ingénierie sociale : des tactiques trompeuses pourraient persuader les utilisateurs de partager leurs codes à usage unique ou de télécharger des logiciels malveillants qui les exposent.
• Vulnérabilité de sauvegarde dans le cloud : de nombreux utilisateurs disposent de sauvegardes basées sur le cloud qui enregistrent leurs clés d'authentification. En compromettant un compte de stockage cloud, les pirates pourraient accéder à ces données d'authentification.
• Friction de l'utilisateur : Google Authentator demande aux utilisateurs de télécharger une application supplémentaire et de saisir une clé de sécurité. Ensuite, chaque fois qu’ils se connectent à l’application, ils doivent transférer un mot de passe temporaire de l’application vers le site Web, ce qui ajoute une quantité considérable de tracas et de frictions au processus de connexion.
• Interception de la clé d'authentification : la fourniture du code de la clé d'authentification à l'utilisateur constitue un point de vulnérabilité. Si des pirates interceptent ce code ou l'obtiennent d'une manière ou d'une autre, l'ensemble du processus d'authentification Google est compromis et les pirates distants peuvent accéder au compte de n'importe où.

Malgré ces vulnérabilités, Google Authenticator et d'autres applications d'authentification améliorent considérablement la sécurité de la connexion aux sites Web par rapport aux mots de passe seuls. Un système d’authentification comme celui-ci aurait pu stopper net le piratage de 23andMe.

Qu’en est-il de lier le contrôle d’accès au périphérique de connexion lui-même, comme le fait Invysta ?

Il existe une autre solution qui aurait pu fonctionner pour empêcher le piratage de 23andMe. Il s'agit d'une technologie logicielle de Groupe technologique Invysta , qui aurait pu transformer instantanément les appareils de connexion des utilisateurs de 23andMe en clés de sécurité physiques, offrant le même niveau de sécurité qu'une clé de sécurité physique (sans avoir besoin de la clé réelle).

Invysta fonctionne en détectant les identifiants matériels et logiciels uniques trouvés dans chaque périphérique de connexion utilisateur et en utilisant ces identifiants pour créer une « clé d'accès anonyme » impossible à reproduire. En transformant les smartphones ou les ordinateurs portables des utilisateurs de 23andMe en clés de sécurité physiques, Invysta permet aux sites Web comptant des millions d'utilisateurs de bénéficier d'un niveau de sécurité d'accès le plus élevé sans avoir besoin d'acheter ou de distribuer un élément matériel supplémentaire, ce qui rend impossible aux pirates informatiques distants d'obtenir des informations d'identification. attaque de bourrage.

Bien entendu, Invysta est encore une technologie relativement inconnue et la plupart des propriétaires de sites Web ignorent son existence. Cependant, à terme, cette solution pourrait se forger une réputation de stratégie à la fois puissante et rentable dans le domaine du contrôle d'accès.

Dernières pensées

Cet article a examiné diverses solutions de contrôle d'accès et de connexion qui auraient pu aider 23andMe à prévenir l'attaque contre ses clients. Mais ce n’est pas parce que certaines de ces solutions fonctionnent aujourd’hui qu’elles continueront à fonctionner à l’avenir.

Alors que nous partageons en ligne davantage de détails sur nous-mêmes et nos familles, y compris nos données ADN et ethniques sur des services comme 23andMe, le domaine en constante évolution de la sécurité numérique est plus important que jamais. En effet, il ne s’agit plus seulement de sécuriser notre vie financière. Il s'agit de protéger nos familles contre les crimes haineux, les atteintes à la vie privée et d'autres vulnérabilités terrifiantes.

Alors que ces dangers continuent de croître et d’évoluer dans les années à venir, on peut s’attendre à ce que davantage de solutions de cybersécurité apparaissent sur le marché. En mettant en œuvre ces nouvelles technologies le plus tôt possible, les organisations pourront peut-être éviter les dommages financiers, de réputation et de sécurité physique que 23andMe a récemment subis.