La société américaine de tests génétiques 23andMe a subi une importante violation donnée l'année dernière. L'on ignore exactement quand le piratage a eu lieu, mais la nouvelle de la violation n'a fait surface qu'en octobre, lorsque des données des clients ont été mises en vente sur le dark Web. À ce moment-là, 23andMe a déclaré au public que seuls 14 000 comptes environ avaient été compromis. Mais une enquête ultérieure a révélé qu'en raison d'une fonction interne de partage de données liée à ces comptes, le nombre réel de personnes touchées était probablement de l'ordre de 6,9 millions. L'entreprise avait initialement minimisé la portée du piratage.
Le comportement de 23andMe a frustré de nombreux clients qui ont décidé de poursuivre l'entreprise en justice. Généralement, lorsque les données personnelles des clients sont compromises après un piratage, l'entreprise s'excuse ou demande pardon. Mais ce n'est pas le cas de 23andMe. Pour l'instant, l'entreprise ne semble pas avoir l'intention de s'excuser auprès des clients ni de trouver une voie pacifique pour sortir de cette crise. Confronté à plus de 30 actions en justice, 23andMe rejette la responsabilité sur les victimes elles-mêmes afin de se dégager de toute responsabilité. Il a exprimé sa position dans une lettre envoyée à un groupe de victimes.
La nouvelle de la lettre a été rapportée par TechCrunch et elle a été envoyée au cabinet d'avocats Tycko & Zavareei LLP. « Plutôt que de reconnaître son rôle dans ce désastre en matière de sécurité des données, 23andMe a apparemment décidé de laisser ses clients à l'abandon tout en minimisant la gravité de ces événements », a déclaré Hassan Zavareei, l'un des avocats représentant les victimes qui ont reçu la lettre de 23andMe. L'entreprise cherche à rester à l'écart des tribunaux, mais elle semble également nier être la principale responsable de la violation des données. La lettre envoyée par 23andMe aux clients comporterait le passage suivant :
« Par négligence, les utilisateurs ont recyclé et n'ont pas mis à jour leurs mots de passe à la suite de ces incidents de sécurité passés, qui ne sont pas liés à 23andMe. Par conséquent, l'incident n'était pas le résultat de l'échec présumé de 23andMe à maintenir des mesures de sécurité raisonnables […] ». En d'autres termes, 23andMe semble dire que cette vaste violation de données n'est pas vraiment de sa faute. Cette affirmation est conforme à ce que l'entreprise a déclaré précédemment, à savoir que le véritable coupable de toute l'affaire était une mauvaise sécurité des comptes et que ses propres systèmes n'ont jamais été violés par les criminels.
En réponse à la lettre de 23andMe aux victimes, Zavareei a déclaré que l'entreprise blâme sans vergogne les victimes pour la violation de données. « Ce pointage du doigt est absurde. 23andMe savait ou aurait dû savoir que de nombreux consommateurs utilisent des mots de passe recyclés et donc 23andMe aurait dû mettre en œuvre certaines des nombreuses mesures de protection disponibles pour se protéger contre le bourrage d'identifiants - surtout si l'on considère que 23andMe stocke des informations d'identification personnelle, des informations de santé et des informations génétiques sur sa plateforme », a déclaré Zavareei.
La réponse de l'entreprise a choqué plus d'un. Et les critiques n'ont pas manqué de relever certaines faiblesses dans la sécurité de 23andMe. Des critiques ont souligné que 23andMe aurait probablement dû exiger des utilisateurs qu'ils utilisent l'authentification multifactorielle, une pratique de sécurité standard de l'industrie qu'elle n'a pas respectée avant la violation. L'entreprise n'a instauré l'authentification à plusieurs facteurs obligatoire qu'après le vol des données des utilisateurs. En outre, après la révélation de la violation, l'entreprise a également modifié frénétiquement ses conditions de service afin d'empêcher les clients piratés de porter plainte.
Selon les analystes, en raison de certaines dispositions controversées incluses dans les conditions de service de 23andMe, les litiges de masse (comme les recours collectifs) sont assez difficiles à réaliser. En effet, les conditions de service de l'entreprise stipulent que les utilisateurs doivent renoncer à la possibilité de poursuivre l'entreprise et tenter à la place l'arbitrage forcé, une voie juridique alternative qui, selon les experts, penche fortement en faveur des entreprises. Néanmoins, les victimes ont déposé un certain nombre de recours collectifs contre 23andMe, apparemment dans le but de passer outre l'accord initial de l'entreprise.
Zavareei affirme que 23andMe a mis à jour ses conditions générales de vente pour rendre la procédure d'arbitrage plus onéreuse et plus difficile à naviguer. D'autres experts juridiques affirment également que les récentes modifications contractuelles de 23andMe ont rendu encore plus difficile la possibilité pour les victimes de se regrouper et de recourir à un arbitrage de masse, ce qui s'apparenterait à une action collective et qui serait donc plus avantageux et plus pratique pour les victimes. Zavareei a déclaré qu'il existe quelques scénarios hypothétiques dans lesquels les victimes pourraient poursuivre une action en justice traditionnelle.
Dante Termohs, un client de 23andMe qui a été touché par la violation de données, a déclaré à TechCrunch qu'il trouvait consternant que 23andMe tente de se cacher des conséquences au lieu d'aider ses clients. D'autres avocats ayant l'habitude de représenter des victimes de violations de données ont déclaré que les modifications apportées par 23andMe à ses conditions de service sont "cyniques" et "intéressées". Selon eux, il s'agit d'une "tentative désespérée" de se protéger et de dissuader les clients de poursuivre l'entreprise. Elle estime que les données volées ne peuvent pas être utilisées pour infliger des dommages pécuniaires aux victimes.
La violation de données a commencé par l'accès des pirates à environ 14 000 comptes d'utilisateurs seulement. Les pirates se sont introduits dans ce premier groupe de victimes en forçant brutalement les comptes avec des mots de passe connus pour être associés aux clients ciblés, une technique connue sous le nom de "credential stuffing". À partir des 14 000 premières victimes, les pirates ont pu accéder aux données personnelles de 6,9 millions d'autres victimes qui avaient choisi d'utiliser la fonction "DNA Relatives" de 23andMe. Cette fonction permet aux clients de partager automatiquement certaines de leurs données avec des proches sur la plateforme.
En d'autres termes, en piratant les comptes de seulement 14 000 clients, les pirates ont ensuite récupéré les données personnelles de 6,9 millions d'autres clients dont les comptes n'ont pas été directement piratés.
Source : lettre de 23andMe
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous de la réponse 23andMe aux victimes de la violation de données ?
Selon vous, les utilisateurs de la plateforme de 23andMe sont-ils fautifs dans cette affaire ? Pourquoi ?
La politique de sécurité de l'entreprise est-elle en cause ? Pourquoi refuse-t-elle toute responsabilité ?
Quels impacts le comportement de l'entreprise pourrait-il avoir sur ses activités à long terme ?
Voir aussi
23andMe a modifié ses conditions de service pour empêcher les clients de porter plainte, suite à un piratage ayant compromis les informations personnelles de près de 7 millions de personnes
6,9 millions d'utilisateurs de 23andMe ont vu leurs données personnelles dérobées par des pirates qui ont accédé aux comptes grâce à des informations de connexion utilisées sur d'autres sites web
La moitié des organisations victimes d'une violation ne prévoient pas d'augmenter leurs dépenses de sécurité malgré la montée en flèche du coût des violations, atteignant 4,45 M$ en 2023, d'après IBM