Lundi, la société 23andMe a indiqué que « quelque 6,9 millions » de ses clients ont vu leurs données compromises après qu’un pirate informatique a accédé aux profils des utilisateurs [1] et les a mis en vente sur Internet (cf. Des pirates volent des données de la société de tests généalogiques 23andMe).
Les données compromises comprenaient des informations sur les ancêtres des utilisateurs ainsi que, pour certains d’entre eux, des informations relatives à la santé basées sur leurs profils génétiques, a précisé l’entreprise. Toutefois, les profils génétiques eux-mêmes n’auraient pas été touchés.
14 000 comptes pour accéder à 6,9 millions de profils
Le pirate n’a accédé directement qu’aux dossiers d’environ 14 000 des 14 millions de clients de 23andMe [2]. Mais de nombreux utilisateurs choisissent de partager des informations avec des personnes auxquelles ils sont génétiquement apparentés [3] – que ce soit des cousins éloignés qu’ils n’ont jamais rencontrés, ou des membres de leur famille directe – afin d’en savoir plus sur leur propre profil génétique et d’étoffer leur arbre généalogique.
En s’appuyant sur ces 14 000 comptes, le pirate a pu accéder à des informations concernant des millions d’autres personnes [4].
Des conséquences qui pourraient être graves
Aux Etats-Unis, les informations relatives à la santé sont généralement protégées par la loi sur la portabilité et la responsabilité en matière d’assurance maladie [5]. Mais ces protections ne s’appliquent qu’aux « prestataires de soins de santé ».
La loi de 2008 sur la non-discrimination en matière d’information génétique (GINA) protège quant à elle contre « la discrimination en matière d’emploi et d’assurance maladie » si des informations provenant d’un test ADN sont divulguées. Cette loi vise à empêcher qu’on refuse à quelqu’un un emploi ou une assurance si, par exemple, un test ADN révèle qu’il risque de développer un jour une maladie incapacitante. Toutefois cette disposition ne concerne pas les assurances vie ou invalidité.
Renforcer la sécurité des données
Depuis le piratage, l’entreprise a annoncé qu’elle exigerait une « authentification à deux facteurs » pour se protéger d’attaques similaires à celle qu’elle vient de subir. D’autres sociétés de tests ADN, Ancestry et MyHeritage, ont également commencé à rendre obligatoire l’authentification à deux facteurs.
23andMe a indiqué s’attendre à devoir engager des frais de 1 à 2 millions de dollars à la suite de cette cyberattaque.
[1] Le pirate semble avoir utilisé ce que l’on appelle le « credential stuffing » pour accéder aux comptes des clients, en se connectant aux comptes individuels de 23andMe à l’aide de mots de passe qui avaient été « recyclés » et utilisés pour d’autres sites web qui avaient été piratés précédemment. L’entreprise a affirmé qu’il n’y avait « aucune preuve d’une violation de ses propres systèmes ».
[2] C’est ce qu’a d’abord déclaré 23andMe dans un document déposé auprès de l’autorité américaine des marchés financiers, la Securities and Exchange Commission (SEC), et publié vendredi.
[3] Via la fonction « DNA relatives »
[4] Le pirate a tenté de vendre les données des victimes pour 1 à 10 dollars par individu. Un autre pirate, indiquant posséder « encore plus de données d’utilisateurs prétendument volées deux mois avant l’annonce par les médias en octobre » demandait 50 millions de dollars pour vendre l’ensemble de la base de données, ou entre 1 000 et 10 000 dollars pour un sous-ensemble de données.
[5] Health Insurance Portability and Accountability Act, ou HIPAA
Sources : TechCrunch, Lorenzo Franceschi-Bicchierai, Zack Whittaker (01/12/2023) ; Time, Kristen V. Brown (04/12/2023) ; L’Usine digitale, Julien Bergounhoux (05/12/2023) – Photo : iStock
