Fuite de données : pour 23andMe, si vos données génétiques se sont retrouvées dans la nature, c’est un peu de votre faute

Publié le 08 janvier 2024 à 19h30

Après s'être mollement excusé pour la fuite de données en octobre dernier, 23andMe passe à l'offensive.

On ne parle pas d'un compte Netflix piraté. Lorsque des hackers ont récupéré les données génétiques de millions de personnes inscrites sur le site de généalogie, nombreuses ont été parmi ces dernières à se sentir menacées ou au minimum lésées. Et devant la pluie de procès qui s'annonce à l'horizon, le site a changé radicalement de stratégie, se montrant incroyablement cynique avec ceux qui sont tout de même ses clients.

Les données génétiques de près de 7 millions de personnes dans la nature…

Le premier décembre dernier, la société 23andMe, qui permet à ses utilisateurs de retrouver des proches et/ou ses origines grâce à son empreinte génétique, annonce que 14 000 comptes environ, soit 0,1 % de ses clients ont été piratés. Un problème sérieux, mais dont les implications n'auraient pas été aussi graves pour n'importe quelle autre entreprise. Car en plus de la nature des données récupérées, forcément très sensibles, le fonctionnement même du service proposé a permis à ces hackers de récupérer infiniment plus d'informations qu'ils n'auraient dues.

La faute à une fonctionnalité en particulier, DNA Relatives Feature, qui quand elle est activée par un utilisateur, partage automatiquement certaines de leurs informations avec ceux que le service considère comme leur proche, ce qui permet de les retrouver. Mais il se trouve qu'en matière d'ADN, on peut avoir beaucoup de proches. C'est ainsi que, de 14 000 profils compromis, la fuite de données s'est étendue à presque 7 millions de personnes au total, soit la moitié des clients du service.

Les avocats de 23andMe ont tenu à faire savoir que les informations très sensibles ainsi récupérées ne pouvaient nullement être utilisées pour faire pression ou demander de l'argent aux victimes, puisque ne comportant pas de numéro de sécurité sociale, d'informations de paiement, ou autres éléments permettant de les identifier.

Pour 23andMe, ils n'avaient qu'à faire plus attention

Les fuites de données personnelles plus ou moins sensibles sont tout sauf rares parmi les services comptant autant d'utilisateurs que 23andMe. Mais l'originalité de cette affaire, c'est que l'entreprise a rapidement réagi pour se couvrir autant que possible. C'est ainsi que quelques semaines après le hack, ses CGU ont connu une petite, mais notable modification… qui interdit ou du moins complique considérablement la possibilité à ses utilisateurs de tenter une action collective en justice contre le site.

Un changement cynique, qui n'a pas évité de nombreuses plaintes d'utilisateurs. Dans une lettre hors sol à l'un de ces groupes de plaignants, la société explique tout simplement que « des utilisateurs ont réutilisé des mots de passe compromis et ne les ont pas mis à jour après des incidents de sécurité qui ne sont pas liés à 23andMe […] cet incident n'est donc pas lié à de prétendues mauvaises mesures de sécurité de 23andMe ». L'entreprise a tout de même, et seulement depuis cet incident, imposé l'authentification à deux facteurs à tous ses utilisateurs.

En d'autres termes, pour 23andMe, si les 7 millions de victimes veulent intenter un procès, elles n'ont qu'à se tourner vers les 14 000 victimes initiales. On verra ce qu'en dira la justice.

Source : TechCrunch (1), TechCrunch (2)

Par Vincent Mannessier

Cybersécurité

Logiciels & services

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

gothax

Après donner son ADN à une société c’est être un peu idiot… donc je dirai un cheh bien guttural et bien jouissif

a-snowboard

Parce que tu crois que les prélèvements adn dans les hôpitaux et ailleurs ne passent pas par une société ?

F4FEnder

@gothax certains se réjouissent de peu de choses, du moment que cela est du « malheur » des autres.
En parlant d’actes idiots, je ne sais pas lequel des deux l’est finalement le plus.

gothax

Pourquoi veux tu qu’un hôpital te prélève ton ADN autre que médicale ? Pour donner à Darmanin ? Tu es hors sujet car je crois qu’en plus en France c’est interdit ce genre de pratique et/ou société ?!?

MattS32

Oui, mais quand tu fais un prélèvement ADN à l’hôpital, c’est généralement que ta vie est en jeu… Et ce n’est pas forcément un séquençage détaillé du génome, ils recherchent certains gênes en particulier. C’est pas comme les confier à une société étrangère pour des raisons en grande partie récréatives (recherches d’origine géographique, qui sont en grande partie foireuse…) et pas d’une grande utilité (savoir que tu as 5% de chances de plus que la moyenne de développer telle ou telle maladie grave, ça va plus te pourrir la vie qu’autre chose…).

Et non, ça ne passe pas forcément par une société externe. La CHU de ma ville a bien son propre labo pour faire ça. Il y a des chances que les résultats soient ensuite stockés à un moment chez un prestataire extérieur. Mais ça ne sera que le rapport final, avec les données pertinente pour la pathologie pour laquelle tu as consulté. Pas ton génome « complet ».

Au passage, je confirme ce que dit @gothax : recourir aux services de ces sociétés est illégal en France.

lepef32

Il faut vraiment etre un peu dingo pour utiliser ce genre de services …
Enfin c’est le meme type de personne qui n’ont pas de probleme avec le deluge actuel de camera de surveillance sur la voie publique ou de bientot donner leur empreinte digital ou genetique d’avance a l’Etat car je cite « Si on a rien a se reprocher ou est le probleme ?!? »

Sois dit en passant ce genre de personne si ce sont des relativement proches peuvent vous mettre dans de beau draps car, aux USA en tout cas la police utilise ces site genealogiques en scred ou sur injonction pour retrouver les proches d’une trace ADN non identifiee ::::

MattS32

En même temps, si tu as des soucis avec la police parce qu’ils ont trouvé ton ADN sur une scène de crime et réussi à mettre un nom sur ton ADN grâce à un proche qui a utilisé ce service, c’est pas le proche qui t’as mis dans de beaux draps, fondamentalement tu t’y es mis toi même hein…

lepef32

Certes, et je serais le premier a etre content qu’on attrape l’assassin d’un proche grace a la naivete d’un membre de la famille du meurtrier … M’enfin je trouve ca moralement borderline et c’est surtout ouvrir une porte dangereuse en cas de derive de l’Etat (c’est dailleurs aussi un gros argument contre la peine de mort)

Martin_Penwald

je cite « Si on a rien a se reprocher ou est le probleme ?!? »

Ce à quoi je réponds que c’est justement parce que je n’ai rien à me reprocher que je ne veux pas être fliqué.

Blap

Sauf si ton crime est d’être homosexuel ou militant contre une dictature ou écologiste.
Tout est relatif