Piratage 23andMe : Fuite de données de 6,9 millions d’utilisateurs

Piratage de 23andMe : les hackers détiennent les informations de 14 000 tests génétiques et les données personnelles de 6,9 millions d’utilisateurs

Ce sont les résultats génétiques de plus de 14 000 test ADN qui ont été dérobé à 23andMe en octobre 2023. Mais le 5 décembre, le porte parole de la société californienne a confirmé que plus de 6,9 millions d’utilisateurs étaient concernés, en raison de partage de données et des liens généalogiques consenti par eux-mêmes en cas de correspondance détectée.

C’est la première fois qu’un acteur majeur de cette industrie subit une attaque de cette envergure. Pourquoi les hackers s’intéressent-ils a ces données si précieuses et comment éviter ce drame à l’avenir ? Dans cet article, nous revenons sur les faits et nous répondons à ces questions.

Notez que bien que nous recommandions 23andMe dans notre avis, ce n’est plus le cas suite à cet événement.

Une première attaque en octobre 2023

Le 10 octobre 2023, la société 23andMe spécialisées dans la vente de tests ADN salivaires généalogiques et santé, a affirmé qu’elle avait été victime d’une cyber-attaque visant les données de ses clients enregistrés sur le site.

Les pirates informatiques auraient eu accès à 14 000 profils clients à partir des informations de connexion dérobés depuis un autre site, technique appelée “credential stuffing” très courante dans le piratage de données (d’où l’intérêt de ne jamais avoir des identifiants de connexion identiques sur plusieurs sites).

Les informations auxquelles ont pu accéder les hackers variaient en fonction du paramétrage des comptes décidés par les utilisateurs eux-mêmes. Ainsi, les informations généalogiques et les liens familiaux entre utilisateurs étaient plus ou moins révélés, ainsi que pour certains des informations relatives à leur santé basées sur les données génétiques.

Un fuite beaucoup plus grave qu’annoncée

C’est le vendredi 1er décembre 2023 que le porte parole de la société 23andMe reconnait que les pirates ont accédé à bien plus d’informations qu’initialement annoncé.

En effet, la plateforme de l’entreprise faisant office de réseaux social, les hackers ont pu accéder à des informations que d’autres utilisateurs non concernés par l’attaque ont accepté de révéler aux utilisateurs dont les pirates détenaient les comptes. C’est notamment le cas des liens familiaux que les utilisateurs partagent potentiellement en fonction des correspondances ADN détéctées.

En conséquence, le piratage initial de seulement 14 000 comptes a abouti à une fuite massive d’informations concernant plus de 6,9 millions d’utilisateurs, soit plus de la moitié des clients de 23andMe !

Les informations concernent principalement :

  • Le nom et prénom de l’utilisateur ;
  • Le pourcentage de patrimoine génétique commun partagé avec d’autres utilisateurs ;
  • Sa localisation ;
  • Son année de naissance ;
  • Et même des photos mises en ligne de sa propre initiative !

Le degré d’atteinte dépend bien évidemment du paramétrage du compte de l’utilisateur étant donné qu’il n’a pas été directement hacké par le pirate, mais que ce dernier accède aux informations sus-mentionnées via un des 14 000 comptes initialement piratés en octobre.

Plus grave encore : pour 1,4 millions d’utilisateurs, c’est leur arbre généalogique en intégralité qui est désormais accessible aux pirates. (source : Lemonde.fr)

En d’autres termes, en piratant seulement 14 000 comptes de clients 23andMe, les pirates ont ensuite récupéré les données personnelles de 6,9 ​​millions de clients supplémentaires dont les comptes n’avaient pas été directement piratés.

23andMe a averti les clients et utilisateurs de cette fuite de données conformément à la loi américaine, et a incité tous ces clients à renforcer la sécurité de l’accès à leur compte sur la plateforme notamment au moyen d’une authentification 2FA.

L’incroyable réponse de la société 23andMe aux poursuites judiciaires de ses clients

Depuis, plus de 30 actions collectives ont été ouvertes aux États-Unis et au Canada.

Mais le 3 janvier 2024, la réponse de 23andMe est aussi incroyable que révoltante : la société rejète tout bonnement la faute sur ses clients, comme nous l’apprend cet article du site Techcrunch.com en contact avec les parties de l’affaire.

Au lieu de reconnaître son rôle central dans ce désastre en matière de sécurité des données, 23andMe se contente de minimiser la gravité de l’événement, selon Hassan Zavareei, un des avocats représentant les victimes.

Voici la réponse de 23andMe suite à ces poursuites judiciaires :

“Les utilisateurs ont négligemment recyclé et omis de mettre à jour leurs mots de passe à la suite de ces incidents de sécurité antérieurs, qui ne sont pas liés à 23andMe. Par conséquent, l’incident ne résulte pas de l’incapacité présumée de 23andMe à maintenir des mesures de sécurité raisonnables”

On constate que la société américaine met directement en cause le comportement de ses clients pour se dédouaner des failles de sécurité résultants de sa plateforme.

De nombreuses victimes et leurs avocats s’indignent non seulement du fait que 23andMe n’ait pas réalisé l’importance de protéger du credential stuffing les comptes utilisateurs au regard de la nature particulièrement sensible des informations qui s’y trouvent, mais en plus du comportement de la société qui ne cherche pas à aider ses clients.

Les poursuites sont actuellement toujours en cours mais les données ont de toute façon bel et bien été volées. Elle peuvent être désormais utilisées pour infliger des dommages de nature pécuniaire aux victimes.

Il est d’ailleurs possible que ce piratage concerne les données généalogiques de certains français qui ont pu se procurer un test ADN 23andMe en livraison en France lorsque cela était encore possible. Aujourd’hui ce n’est plus le cas.

Conclusion : comment faire un test ADN sans risquer la fuite de vos données génétiques ?

Si vous avez fait un test ADN dans une société comme 23andMe ou un de ces concurrents, vous ne pouvez malheureusement pas faire grand chose contre ce genre d’événement.

En effet, lorsque vous faite un test salivaire, la société extrait votre données génétiques qu’elle conserve. Vous ne recevez que des résultats basés sur l’interprétation faite de votre génome.

Ces résultats concernent la plupart du temps les origines ethniques et généalogiques, mais elle peuvent également traiter des maladies héréditaires, de la sensibilité à certains médicaments, aux allergies ou encore aux performances sportives.

Quoi qu’il en soit, c’est la société de test ADN qui est propriétaire de vos données génétiques. Leur confidentialité relève donc du système de conservation des données mis en place par celle-ci.

Articles relatifs :

5/5 - (1 vote)
La Vie de nos Ancêtres
Logo