Piratage de 23andMe : les données de 6,9 millions de clients compromises

Publié le 5 Déc, 2023

Lundi, la société 23andMe a indiqué que « quelque 6,9 millions » de ses clients ont vu leurs données compromises après qu’un pirate informatique a accédé aux profils des utilisateurs [1] et les a mis en vente sur Internet (cf. Des pirates volent des données de la société de tests généalogiques 23andMe).

Les données compromises comprenaient des informations sur les ancêtres des utilisateurs ainsi que, pour certains d’entre eux, des informations relatives à la santé basées sur leurs profils génétiques, a précisé l’entreprise. Toutefois, les profils génétiques eux-mêmes n’auraient pas été touchés.

14 000 comptes pour accéder à 6,9 millions de profils

Le pirate n’a accédé directement qu’aux dossiers d’environ 14 000 des 14 millions de clients de 23andMe [2]. Mais de nombreux utilisateurs choisissent de partager des informations avec des personnes auxquelles ils sont génétiquement apparentés [3] – que ce soit des cousins éloignés qu’ils n’ont jamais rencontrés, ou des membres de leur famille directe – afin d’en savoir plus sur leur propre profil génétique et d’étoffer leur arbre généalogique.

En s’appuyant sur ces 14 000 comptes, le pirate a pu accéder à des informations concernant des millions d’autres personnes [4].

Des conséquences qui pourraient être graves

Aux Etats-Unis, les informations relatives à la santé sont généralement protégées par la loi sur la portabilité et la responsabilité en matière d’assurance maladie [5]. Mais ces protections ne s’appliquent qu’aux « prestataires de soins de santé ».

La loi de 2008 sur la non-discrimination en matière d’information génétique (GINA) protège quant à elle contre « la discrimination en matière d’emploi et d’assurance maladie » si des informations provenant d’un test ADN sont divulguées. Cette loi vise à empêcher qu’on refuse à quelqu’un un emploi ou une assurance si, par exemple, un test ADN révèle qu’il risque de développer un jour une maladie incapacitante. Toutefois cette disposition ne concerne pas les assurances vie ou invalidité.

Renforcer la sécurité des données

Depuis le piratage, l’entreprise a annoncé qu’elle exigerait une « authentification à deux facteurs » pour se protéger d’attaques similaires à celle qu’elle vient de subir. D’autres sociétés de tests ADN, Ancestry et MyHeritage, ont également commencé à rendre obligatoire l’authentification à deux facteurs.

23andMe a indiqué s’attendre à devoir engager des frais de 1 à 2 millions de dollars à la suite de cette cyberattaque.

Complément du 11/06/2024 : Les organismes de surveillance des données du Royaume-Uni et du Canada ont annoncé une enquête à venir sur l’entreprise de tests génétiques 23andMe à propos d’une violation de données en octobre 2023.

Complément du 26/09/2024 : La société 23andMe a accepté d’indemniser les millions de clients qui ont été touchés par un piratage de leurs données. L’entreprise y consacrera 30 millions de dollars afin de régler le recours collectif déposé auprès du tribunal de première instance du district nord de la Californie.

 

[1] Le pirate semble avoir utilisé ce que l’on appelle le « credential stuffing » pour accéder aux comptes des clients, en se connectant aux comptes individuels de 23andMe à l’aide de mots de passe qui avaient été « recyclés » et utilisés pour d’autres sites web qui avaient été piratés précédemment. L’entreprise a affirmé qu’il n’y avait « aucune preuve d’une violation de ses propres systèmes ».

[2] C’est ce qu’a d’abord déclaré 23andMe dans un document déposé auprès de l’autorité américaine des marchés financiers, la Securities and Exchange Commission (SEC), et publié vendredi.

[3] Via la fonction « DNA relatives »

[4] Le pirate a tenté de vendre les données des victimes pour 1 à 10 dollars par individu. Un autre pirate, indiquant posséder « encore plus de données d’utilisateurs prétendument volées deux mois avant l’annonce par les médias en octobre » demandait 50 millions de dollars pour vendre l’ensemble de la base de données, ou entre 1 000 et 10 000 dollars pour un sous-ensemble de données.

[5] Health Insurance Portability and Accountability Act, ou HIPAA

Sources : TechCrunch, Lorenzo Franceschi-Bicchierai, Zack Whittaker (01/12/2023) ; Time, Kristen V. Brown (04/12/2023) ; L’Usine digitale, Julien Bergounhoux (05/12/2023) ; BBC, Imran Rahman-Jones (10/06/2024) ; Tech Xplore, Wyatte Grantham-Philips (20/09/2024) – Photo : iStock

Partager cet article

Synthèses de presse

PMA : une exposition plus fréquente à des médicaments susceptibles de causer des anomalies congénitales
/ PMA-GPA

PMA : une exposition plus fréquente à des médicaments susceptibles de causer des anomalies congénitales

Une étude révèle une raison pouvant expliquer pourquoi certaines grossesses obtenues via des techniques de PMA donnent lieu à des ...
Fin de vie : François Bayrou laisse le champ libre aux députés
/ Fin de vie

Fin de vie : François Bayrou laisse le champ libre aux députés

A l’occasion de son discours de politique générale, le Premier ministre a indiqué laisser le sujet de la fin de ...
« Nous avons tous été un embryon »
/ IVG-IMG

« Nous avons tous été un embryon »

Il y a cinquante ans, la loi Veil a dépénalisé l’avortement. Une victoire « comparable à celles de Pyrrhus » ...

 

Textes officiels

 

Fiches Pratiques

Bibliographie

Lettres

Recevez notre lettre hebdomadaire

Recevez notre lettre hebdomadaire

Chaque semaine notre décryptage de l'actualité bioéthique et revue de presse.

Votre inscription a bien été prise en compte.